(https://www.bleepstatic.com/content/hl-images/2024/06/12/windows-blue-background.jpg)
Microsoft ha publicado un script de PowerShell para ayudar a los usuarios y administradores de Windows a actualizar los medios de arranque para que utilicen el nuevo certificado "Windows UEFI CA 2023" antes de que se apliquen las mitigaciones del kit de arranque UEFI de BlackLotus a finales de este año.
BlackLotus es un kit de arranque UEFI que puede omitir el arranque seguro y obtener el control sobre el proceso de arranque del sistema operativo. Una vez que tiene el control, BlackLotus puede deshabilitar las funciones de seguridad de Windows, como BitLocker, Hypervisor-Protected Code Integrity (HVCI) y Microsoft Defender Antivirus, lo que le permite implementar malware en el nivel de privilegio más alto sin ser detectado.
En marzo de 2023 y luego en julio de 2024, Microsoft publicó actualizaciones de seguridad para una omisión del arranque seguro identificada como CVE-2023-24932 que revoca los administradores de arranque vulnerables utilizados por BlackLotus.
Sin embargo, esta solución está deshabilitada de forma predeterminada, ya que la aplicación incorrecta de la actualización o los conflictos en los dispositivos podrían hacer que el sistema operativo ya no se cargue. En cambio, la implementación de la corrección en etapas permite a los administradores de Windows probarla antes de que se implemente en algún momento antes de 2026.
Cuando se habilita, la actualización de seguridad agregará el certificado "Windows UEFI CA 2023" a la "Base de datos de firmas de arranque seguro" de UEFI. Luego, los administradores pueden instalar administradores de arranque más nuevos que estén firmados con este certificado.
Este proceso también incluye la actualización de la Base de datos de firmas prohibidas de arranque seguro (DBX) para agregar el certificado "Windows Production CA 2011". Este certificado se usa para firmar administradores de arranque más antiguos y vulnerables y, una vez revocado, hará que esos administradores de arranque dejen de ser confiables y no se carguen.
Sin embargo, si aplica las mitigaciones y tiene un problema al iniciar sus dispositivos, primero debe actualizar su medio de arranque para usar el certificado Windows UEFI CA 2023 para solucionar problemas de instalación de Windows.
"Si encuentra un problema con el dispositivo después de aplicar las mitigaciones y el dispositivo deja de arrancar, es posible que no pueda iniciar o recuperar su dispositivo desde un medio existente", explica Microsoft en un boletín de soporte sobre la implementación por etapas de correcciones para CVE-2023-24932.
"Será necesario actualizar los medios de recuperación o instalación para que funcionen con un dispositivo que tenga las mitigaciones aplicadas".
Ayer, Microsoft lanzó un script de PowerShell que le ayuda a actualizar los medios de arranque para que utilicen el certificado Windows UEFI CA 2023.
"El script de PowerShell descrito en este artículo se puede utilizar para actualizar los medios de arranque de Windows de modo que se puedan utilizar en sistemas que confíen en el certificado Windows UEFI CA 2023", explica un nuevo boletín de soporte sobre el script.
El script de PowerShell se puede descargar desde Microsoft y se puede utilizar para actualizar los archivos de medios de arranque para archivos de imagen ISO de CD/DVD, una unidad flash USB, una ruta de unidad local o una ruta de unidad de red.
Descarga directa:
https://download.microsoft.com/download/5/7/8/57894d2a-6966-4de9-8c01-66e0db608c21/Make2023BootableMedia.ps1
Para utilizar la utilidad, primero debe descargar e instalar Windows ADK, que es necesario para que este script funcione correctamente:
https://learn.microsoft.com/en-us/windows-hardware/get-started/adk-install#winADK
Cuando se ejecuta, el script actualizará los archivos de medios para utilizar el certificado Windows UEFI CA 2023 e instalará los administradores de arranque firmados por este certificado.
Se recomienda encarecidamente que los administradores de Windows prueben este proceso antes de llegar a la etapa de aplicación de las actualizaciones de seguridad. Microsoft dice que esto sucederá a fines de 2026 y dará un aviso seis meses antes de que comience.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/new-microsoft-script-updates-windows-media-with-bootkit-malware-fixes/