Instrucciones de Microsoft para aplicar la actualización de DBX de arranque seguro (KB4575994)

Aplicación de una actualización de DBX en Windows

Después de leer las advertencias en la sección anterior y de comprobar que el dispositivo es compatible, siga estos pasos para actualizar el DBX de arranque seguro:

1. Descargue el archivo de lista de revocación de UEFI adecuado (Dbxupdate.bin) para su plataforma desde esta página de UEFI.

2. Tendrá que dividir el archivo Dbxupdate.bin en los componentes necesarios para aplicarlos mediante cmdlets de PowerShell. Para ello, siga estos pasos:

   1. Descargue el script de PowerShell de esta página web de la Galería de PowerShell.

   2. Para ayudar a localizar el script, ejecute el siguiente cmdlet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Verifique que el cmdlet descargue correctamente el script y proporcione detalles de salida, incluidos Name, Version, Author, PublishedDate, InstalledDate, and InstalledLocation.

   4. Ejecute los siguientes cmdlets:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • ls

   5. Verifique que el archivo SplitDbxContent.ps1 esté ahora en la carpeta Scripts.

   6. Ejecute el siguiente script de PowerShell en el archivo Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Compruebe que el comando ha creado los siguientes archivos.

      

      • Content.bin – contenidos de la actualización

      • Signature.p7 – firma que autoriza el proceso de actualización

3. En una sesión administrativa de PowerShell, ejecute el cmdlet Set-SecureBootUefi para aplicar la actualización de DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Salida esperada
   
   

4. Para completar el proceso de instalación de la actualización, reinicie el dispositivo.

Para obtener más información sobre el cmdlet de configuración de arranque seguro y cómo usarlo para actualizaciones de DBX, consulte Set-Secure.

Comprobar que la actualización se completó correctamente  

Después de completar los pasos de la sección anterior y reiniciar el dispositivo, siga estos pasos para comprobar que la actualización se haya aplicado correctamente. Si confirma que se aplicó correctamente, su dispositivo ya no se verá afectado por la vulnerabilidad de GRUB.

1. Descargue los scripts de verificación de la actualización de DBX en esta página web de GitHub Gist.

2. Extraiga los scripts y archivos binarios del archivo comprimido.

3. Ejecute el siguiente script de PowerShell dentro de la carpeta que contiene los scripts y archivos binarios expandidos para comprobar la actualización de DBX: 
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Nota: Si se aplicó una actualización de DBX que coincide con las versiones de julio de 2020 u octubre de 2020 de este archivo de lista de revocación, ejecute el siguiente comando en su lugar: 
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Compruebe que la salida coincide con el resultado esperado.
   
   

P+F

P1: ¿Qué significa el mensaje de error "Get-SecureBootUEFI: Cmdlet no compatible con esta plataforma"?

R1: Este mensaje de error indica que NO está habilitada ninguna función de arranque seguro en el equipo. Por lo tanto, el dispositivo NO se ve afectado por la vulnerabilidad de GRUB. No es necesario realizar ninguna otra acción.

P2: ¿Cómo configuro el dispositivo para que confíe o no en la CA de UEFI de terceros? 

R2: Le recomendamos que consulte a su proveedor OEM. 

Para Microsoft Surface, cambie la configuración de arranque seguro a "Solo Microsoft" y luego ejecute el siguiente comando de PowerShell (el resultado debería ser "Falso"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Para obtener más información sobre cómo configurar Microsoft Surface, consulte Administrar la configuración de la UEFI de Surface - Surface | Microsoft Docs.

P3: ¿Este problema afecta a las máquinas virtuales de primera y segunda generación de IaaS de Azure? 

R3: No. Las máquinas virtuales invitadas de Azure de primera y segunda generación no admiten la función de arranque seguro. Por lo tanto, no se ven afectadas por el ataque de cadena de confianza. 

P4: ¿ADV200011 y CVE-2020-0689 se refieren a la misma vulnerabilidad relacionada con el arranque seguro? 

R: No. Estos avisos de seguridad describen diferentes vulnerabilidades. "ADV200011" se refiere a una vulnerabilidad de GRUB (componente de Linux) que podría provocar una omisión de arranque seguro. "CVE-2020-0689" se refiere a una vulnerabilidad de omisión de funciones de seguridad que existe en el arranque seguro. 

P5: No puedo ejecutar ninguno de los scripts de PowerShell. ¿Qué debo hacer?

R: Compruebe la directiva de ejecución de PowerShell ejecutando el comando Get-ExecutionPolicy. Dependiendo de la salida, es posible que tenga que actualizar la directiva de ejecución:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | Microsoft Docs