Windows UEFI CA 2023: Microsoft prepara una actualización global de seguridad de arranque
La corporación ha lanzado una protección contra el escurridizo bootkit BlackLotus.
Microsoft ha lanzado un script de PowerShell que permite a los administradores de Windows y usuarios actualizar los medios de arranque utilizando el nuevo certificado Windows UEFI CA 2023. La actualización preparará los sistemas para la implementación de medidas de protección contra el bootkit BlackLotus, que es capaz de eludir Secure Boot e inyectar software malicioso en la fase de arranque.
BlackLotus es un poderoso bootkit UEFI que puede desactivar los mecanismos de seguridad de Windows, incluyendo BitLocker, Hypervisor-Protected Code Integrity (HVCI) y Microsoft Defender. Como resultado, los atacantes pueden desplegar programas maliciosos con privilegios máximos sin ser detectados.
Microsoft lanzó parches para la vulnerabilidad CVE-2023-24932 (puntuación CVSS: 6.7) en 2023, bloqueando los cargadores vulnerables explotados por BlackLotus. Sin embargo, las actualizaciones están inicialmente desactivadas, ya que su aplicación incorrecta podría impedir el arranque del sistema operativo. La empresa ha optado por un enfoque gradual en la implementación de las correcciones, permitiendo a los administradores probarlas antes de su activación obligatoria, programada para finales de 2026.
Cuando la actualización se active, el certificado Windows UEFI CA 2023 se agregará a la base de firmas de Secure Boot. Después de esto, los administradores podrán instalar nuevos cargadores de arranque firmados con este certificado. Además, la actualización incluirá la incorporación del certificado Windows Production CA 2011 en la Secure Boot Forbidden Signature Database (DBX). Dado que este certificado se utilizó para firmar cargadores antiguos, su revocación los hará no confiables e impedirá su carga.
Sin embargo, tras aplicar las correcciones, si se detectan problemas con el arranque de los dispositivos, será necesario actualizar los medios de instalación utilizando el nuevo certificado. Microsoft advierte que los medios de instalación y recuperación antiguos se volverán incompatibles con los sistemas actualizados.
Para simplificar este proceso, Microsoft ha presentado un script de PowerShell que actualiza automáticamente los medios de instalación, agregando compatibilidad con Windows UEFI CA 2023. El script está diseñado para funcionar con imágenes ISO, unidades USB, discos locales y de red. Antes de ejecutar la utilidad, es necesario instalar Windows ADK (Assessment and Deployment Kit). Tras la ejecución del script, los archivos de instalación se actualizan y los cargadores de arranque se firman con el nuevo certificado.
Microsoft recomienda encarecidamente a los administradores probar la actualización de los medios antes de la activación obligatoria de la protección. La notificación oficial sobre la implementación obligatoria de las medidas de seguridad se realizará con seis meses de antelación a su entrada en vigor.
¿Estás cansado de que Internet sepa todo sobre ti?