Vulnerabilidad CVE
CVE-2023-24932 -https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Descripción del problema
Microsoft tiene conocimiento de un exploit disponible públicamente para la omisión de arranque seguro que permite a los atacantes ejecutar código autofirmado en el nivel de la interfaz de firmware extensible unificada (UEFI) mientras el arranque seguro está habilitado. Para protegerse contra este ataque, el administrador de inicio de Windows se actualizará para abordar las vulnerabilidades de seguridad, y se proporcionan políticas de revocación del administrador de inicio (revocaciones) para evitar que los administradores de inicio vulnerables anteriores se ejecuten después de que se haya actualizado el sistema.
Microsoft ha anunciado un artículo público de KB que describe la protección contra la divulgación pública de una omisión de la función de seguridad de arranque seguro mediante el uso del kit de arranque BlackLotus UEFI rastreado por CVE-2023-24932, el artículo ha proporcionado las protecciones y la orientación para actualizar los dispositivos de arranque. Un bootkit es un programa malicioso que está diseñado para cargarse lo antes posible en la secuencia de un dispositivo, con el fin de controlar el inicio del sistema operativo.
Para que el exploit del kit de arranque BlackLotus UEFI descrito anteriormente sea posible, un atacante debe obtener privilegios administrativos en un dispositivo u obtener acceso físico al dispositivo. Esto se puede hacer accediendo al dispositivo de forma física o remota, como mediante el uso de un hipervisor para acceder a máquinas virtuales/nube. Un atacante comúnmente usará esta vulnerabilidad para continuar controlando un dispositivo al que ya puede acceder y posiblemente manipular.
Microsoft proporciona la actualización de seguridad y las opciones de configuración para habilitar manualmente las protecciones para la omisión de arranque seguro el 9 de mayo de 2023 (internamente llamado parche 5B), pero estas protecciones no se habilitan automáticamente. Antes de habilitar estas protecciones, asegúrese de que los dispositivos y todos los medios de arranque estén actualizados y listos para este cambio de refuerzo de seguridad.
Consulte la base de conocimientos de Microsoft: 5025885 para obtener más información: (Nota: las mitigaciones en el artículo de la base de conocimiento son preventivas y no correctivas.
Causa principal
Secure Boot crea una ruta segura y confiable desde UEFI a través de la secuencia Trusted Boot del kernel de Windows, ayuda a prevenir el malware bootkit en la secuencia de arranque. Deshabilitar el Arranque seguro pone un dispositivo en riesgo de ser infectado por un malware bootkit. La reparación de la omisión de arranque seguro descrita en CVE-2023-24932 requiere la revocación de los administradores de arranque. Esto podría causar problemas para las configuraciones de arranque de algunos dispositivos.
Rango de impacto del problema
Consulte el anuncio público deMicrosoft KB: 5025885
Todos los dispositivos de Windows con protecciones de arranque seguro habilitadas se ven afectados por este problema, tanto los dispositivos físicos locales como algunas máquinas virtuales (VM) o dispositivos basados en la nube. Las protecciones están disponibles para las versiones compatibles de Windows. Para ver la lista completa, consulte CVE-2023-24932.
Linux también se ve afectado por este problema. Microsoft se ha estado coordinando con representantes de las principales distribuciones de Linux para que la solución esté disponible para sus sistemas operativos. Debe ponerse en contacto con el soporte de su distribución de Linux para obtener orientación sobre cómo mitigar este problema para sus dispositivos Linux.
Resolución
Acer está trabajando en estrecha colaboración con Microsoft para mitigar el impacto en los usuarios y dispositivos y proporcionará información adicional y actualizaciones a medida que estén disponibles.
