Introducción
Microsoft era consciente de una vulnerabilidad con el administrador de arranque de Windows que permite a un atacante omitir el arranque seguro. El problema en el administrador de arranque se ha corregido y se ha publicado como una actualización de seguridad. La vulnerabilidad restante es que un atacante con privilegios administrativos o acceso físico al dispositivo puede revertir el administrador de arranque a una versión sin la corrección de seguridad. Esta vulnerabilidad de reversión es usada por el malware BlackLotus para omitir el arranque seguro descrito por CVE-2023-24932. Para resolver este problema, revocaremos los administradores de arranque vulnerables.
Debido al gran número de administradores de arranque que deben bloquearse, estamos usando una forma alternativa de bloquear a los administradores de arranque. Esto afecta a los sistemas operativos que no son de Windows, ya que habrá que proporcionar una corrección en esos sistemas para impedir que los administradores de arranque de Windows se usen como vectores de ataque en sistemas operativos que no sean Windows.
Más información
Un método para bloquear los archivos binarios vulnerables de aplicaciones EFI para que el firmware no los cargue es agregar hashes de las aplicaciones vulnerables a la Lista prohibida de UEFI (DBX). La lista DBX se almacena en el flash administrado por firmware de los dispositivos. La limitación de este método de bloqueo es la memoria flash limitada del firmware disponible para almacenar la DBX. Debido a esta limitación y al gran número de administradores de arranque que deben bloquearse (administradores de arranque de Windows de los últimos 10+ años), no es posible confiar completamente en la DBX para este problema.
Para este problema, hemos elegido un método híbrido de bloqueo de los administradores de arranque vulnerables. Solo unos pocos administradores de arranque publicados en versiones anteriores de Windows se agregarán a la DBX. Para Windows 10 y versiones posteriores, se usará una directiva de control de aplicaciones de Windows Defender (WDAC) que bloquea los administradores de arranque de Windows vulnerables. Cuando la directiva se aplica a un sistema Windows, el administrador de arranque "bloquea" la directiva al sistema agregando una variable al firmware UEFI. Los administradores de arranque de Windows respetarán la directiva y el bloqueo UEFI. Si el bloqueo UEFI está en su lugar y se ha quitado la directiva, el administrador de arranque de Windows no se iniciará. Si la directiva está en su lugar, el administrador de arranque no se iniciará si la directiva la ha bloqueado.
Instrucciones para bloquear administradores de arranque de Windows vulnerables
NOTA: Se debe dar a los usuarios la opción de aplicar la variable para que puedan controlar cuándo están protegidos.
Si habilita el bloqueo de UEFI, los medios de arranque de Windows existentes dejarán de arrancar hasta que los medios se actualicen con las actualizaciones de Windows publicadas el 9 de mayo de 2023 o después. Puede encontrar instrucciones para actualizar medios en KB5025885: Cómo administrar las revocaciones del Administrador de arranque de Windows para los cambios de arranque seguro asociados con CVE-2023-24932.
-
Para los sistemas habilitados para arranque seguro que solo arrancan sistemas operativos que no son Windows
Para los sistemas que solo inician sistemas operativos que no son Windows y nunca iniciarán Windows, estas mitigaciones se pueden aplicar al sistema inmediatamente. -
Para sistemas con arranque dual de Windows y otro sistema operativo
Para los sistemas que inician Windows, las mitigaciones que no son de Windows solo deben aplicarse después de que el sistema operativo Windows se haya actualizado a las actualizaciones de Windows publicadas el 9 de mayo de 2023 o después.
Crear el bloqueo UEFI
El bloqueo UEFI tiene dos variables necesarias para evitar ataques de reversión en el administrador de arranque de Windows. Estas variables son las siguientes:
-
Atributos SiPolicy de SKU
Esta directiva tiene los siguientes atributos:
-
Id. de tipo de directiva:
{976d12c8-cb9f-4730-be52-54600843238e}
-
Nombre de archivo específico de "SKUSiPolicy.p7b"
-
Ubicación física específica de EFI\Microsoft\Boot
Como todas las directivas WDAC firmadas, una directiva de SKU firmada está protegida por dos variables UEFI:
-
SKU_POLICY_VERSION_NAME: “SkuSiPolicyVersion”
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: “SkuSiPolicyUpdateSigners”
-
-
Variables SiPolicy de SKU
Esta directiva usa dos variables UEFI almacenadas en el espacio de nombres/proveedor de EFI
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
es de tipo ULONGLONG/UInt64 en tiempo de ejecución
-
se define por <VersionEx>2.0.0.2</VersionEx> dentro de la directiva XML en forma de (MAJOR.MINOR.REVISION.BUILDNUMBER)
-
Se traduce en ULONGLONG como
((major##ULL << 48) + (minor##ULL << 32) + (revision##ULL << 16) + buildnumber)
Cada número de versión tiene 16 bits, por lo que tiene un total de 64 bits.
-
La versión de la directiva más reciente debe ser igual o mayor que la versión almacenada en la variable UEFI en tiempo de ejecución.
-
Descripción: el conjunto es la versión de la directiva de arranque de integridad de código.
-
Atributos:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Guid de espacio de nombres:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
Tipo de datos:
uint8_t[8]
-
Información:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
Debe ser el firmante de Windows.
-
Descripción: información del firmante de directivas.
-
Atributos:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Guid de espacio de nombres:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
Tipo de datos:
uint8_t[131]
-
Información:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,
0x00, 0x00, 0x00};
-
-
Aplicar la DBX
Hemos publicado el archivo DbxUpdate.bin para este problema en UEFI.org. Estos hashes incluyen todos los administradores de arranque de Windows revocados publicados entre Windows 8 y la versión inicial de Windows 10 que no respetan la directiva de integridad de código.
Es de suma importancia que estos se apliquen con cuidado debido al riesgo de que puedan romper un sistema de arranque dual que utiliza varios sistemas operativos y uno de estos administradores de arranque. A corto plazo, recomendamos que, para cualquier sistema, estos hashes se apliquen opcionalmente.
