Después del May Patch Day para Windows 10, Windows 11 y Windows Server, Microsoft lanzó una guía para administradores de arranque vulnerables. Se explica cómo lidiar con una vulnerabilidad UEFI llamada BlackLotus.
dejar…
En este día del parche, Microsoft finalmente reaccionó y ahora está tratando de bloquear los cargadores de arranque maliciosos como el malware BlackLotus. La vulnerabilidad que creó el primer kit de arranque UEFI jamás descubierto se conoce desde hace meses.
Bootkit es un administrador de arranque de Windows malicioso. Se adhiere al inicio del sistema Windows y evita contramedidas. Desafortunadamente, eso no significa que el riesgo de actualización haya terminado todavía. Lo que hacen las nuevas actualizaciones de Windows es cerrar una vulnerabilidad que permite que los bootkits de UEFI se infiltren en la configuración y eludan el software de seguridad como Defender. Sin embargo, esto no ayuda a un sistema ya comprometido.
Administrador de lanzamiento de revocación de notificación
«La vulnerabilidad restante es que un atacante con privilegios administrativos o acceso físico al dispositivo podría revertir el administrador de arranque a una versión sin un parche de seguridad. El malware Blacklotus explota esta vulnerabilidad de reversión para eludir el Arranque seguro instalado en CVE. -2023- 24932. Para solucionar este problema, el arranque vulnerable retiraremos a los administradores».
Ya hemos explicado en un artículo cómo puede identificar el ataque del bootkit BlackLotus UEFI en su propia PC.
Vídeos sobre Windows 10
Microsoft ahora dice que el parche representa la primera fase de la implementación de la actualización de seguridad. Fue una ocurrencia tardía ahora Una guía (KB5027455) Describe cómo bloquear administradores de arranque o kits de arranque de Windows vulnerables. Este artículo de soporte solo está disponible en inglés de Microsoft. Es por eso que traducimos una sección para usted y la agregamos al final de la publicación.
La lista es limitada
Según el equipo de Windows, la lista DBX de arranque seguro ya contiene algunos archivos binarios de aplicaciones UEFI vulnerables. Sin embargo, tiene una capacidad de almacenamiento limitada ya que el firmware reside en la memoria flash. Por lo tanto, una lista de volúmenes DBX o UEFI puede contener solo una cantidad limitada de archivos. La base de datos de firmas prohibidas de arranque seguro o DBX es una lista negra importante para los programas UEFI clasificados como maliciosos.
Por lo tanto, en lugar de confiar solo en Secure Boot DPX, Microsoft recomienda usar la política revisada de control de aplicaciones de Windows Defender (WTAC) disponible en Windows 10 y Windows 11. La guía también proporciona detalles sobre la creación de políticas de bloqueo UEFI.
KB5027455: Cómo bloquear, más información
Un método para evitar que el firmware cargue archivos binarios EFI vulnerables es agregar hashes de aplicaciones vulnerables a la Lista prohibida de UEFI (DBX). La lista DPX se almacena en la memoria flash administrada por firmware del dispositivo. Una limitación de este método de bloqueo es la memoria flash de firmware limitada disponible para almacenar DBX. Debido a esta limitación y la gran cantidad de administradores de arranque que deben bloquearse (administradores de arranque de Windows de los últimos 10 años o más), no se puede confiar en DBX para este problema.
Para este problema, elegimos un método híbrido para bloquear los administradores de arranque vulnerables. DBX incluía solo algunos administradores de arranque lanzados en versiones anteriores de Windows. Windows 10 y versiones posteriores usan la política de control de aplicaciones de Windows Defender (WDAC), que bloquea los administradores de inicio de Windows vulnerables.
Cuando la política se aplica a un sistema Windows, el administrador de arranque «bloquea» la política en el sistema agregando una variable al firmware UEFI. Los administradores de arranque de Windows respetan la política y el arranque UEFI. Si el bloqueo UEFI está en su lugar y se elimina la política, el Administrador de arranque de Windows no se iniciará. Si la política existe y está bloqueada por la política, el administrador de lanzamiento no se iniciará.
- Microsoft responde al malware BlackLotus: la actualización cierra la vulnerabilidad
- La guía (KB5027455) brinda información sobre cómo bloquear administradores de arranque vulnerables
- La lista Safe Boot TPX contiene una pequeña cantidad de archivos maliciosos
- Microsoft recomienda usar el control de aplicaciones de Windows Defender
- La creación de políticas de bloqueo UEFI se describe en la guía
- Los sistemas comprometidos no están protegidos contra daños
Ver también:
Temas relacionados
«Amante de los viajes extremos. Fanático del tocino. Alborotador. Introvertido. Apasionado fanático de la música».
