Microsoft ha publicado un script PowerShell para ayudar a los usuarios y administradores de Windows a actualizar los medios de arranque para que use el nuevo certificado “Windows UEFI CA 2023” antes de que las atenuaciones de Bootkit de BlackLototus UEFI se apliquen a finales de este año.
BlackLotus es un Bootkit UEFI que puede evitar el inicio seguro y tomar el control del proceso de inicio del sistema operativo. Una vez en control, Blacklotus puede desactivar las características de seguridad de Windows, como BitLocker, la integridad del código protegido por Hypervisor (HVCI) y Microsoft Defender Antivirus, lo que le permite implementar malware a los privilegios de más alto nivel mientras se retiene no detectados.
En marzo de 2023, luego en julio de 2024, Microsoft publicó actualizaciones de seguridad para una punción segura de inicio seguido como CVE-2023-24932 que revoca los gerentes de troncos vulnerables utilizados por Blacklotus.
Sin embargo, esta solución está deshabilitada de forma predeterminada, ya que la aplicación incorrecta de la actualización o los conflictos en los periféricos podría causar el sistema operativo. En cambio, la implementación de la solución de los pasos permite a los administradores de Windows probarlo antes de que se aplique algún tiempo antes de 2026.
Cuando se activa, la actualización de seguridad agregará el certificado “Windows UEFI CA 2023” a la base de datos UEFI “firma” de UEFI. Los administradores pueden instalar gerentes de inicio más recientes que están firmados con este certificado.
Este proceso también incluye la actualización de la base de datos Secure Boot Probidden Signature (DBX) para agregar el certificado “Windows Production CA 2011”. Este certificado se utiliza para firmar gerentes de inicio más antiguos y vulnerables y una vez revocado, esto conducirá a que estos gerentes de inicio no confían y no se encargarán.
Sin embargo, si aplica las atenuaciones y ejecuta un problema para iniciar sus dispositivos, primero debe actualizar sus admiradores iniciales para usar el certificado Windows UEFI CA 2023 para solucionar problemas de la instalación de Windows.
“Si tiene un problema con el dispositivo después de aplicar atenuaciones y el dispositivo se vuelve abotable, es posible que no pueda iniciar o recuperar su dispositivo de los soportes existentes”, explica Microsoft en un Boletín Sobre la implementación organizada de las correcciones para CVE-2023-24932.
“Los soportes de recuperación o instalación deben actualizarse para que funcione con un dispositivo que haya aplicado atenuaciones”.
Microsoft publicó un Guión de PowerShell Esto le ayuda a actualizar los soportes Start -UP para que use el certificado de Windows UEFI CA 2023.
Fuente: BleepingCompute
“El script PowerShell descrito en este artículo se puede usar para actualizar los medios de arranque de Windows para que los soportes se puedan usar en sistemas que confíen en el certificado de Windows UEFI CA 2023”, explica Microsoft.
El script de PowerShell puede ser Descargado de Microsoft Y se puede usar para actualizar los archivos multimedia iniciados para archivos de imagen ISO CD / DVD, una unidad flash USB, reproductor local o ruta de reproductor de red.
Para usar la utilidad, primero debes Descargue e instale Windows ADKLo cual es necesario para que este script funcione correctamente.
Durante la ejecución, el script actualizará los archivos multimedia para usar el certificado Windows UEFI CA CE 2023 e instalar los gerentes Start -UP firmados por este certificado.
Está firmemente informado que los administradores de Windows prueban este proceso antes de alcanzar la fase de aplicación de las actualizaciones de seguridad. Microsoft dice que sucederá a fines de 2026 y dará un aviso de seis meses antes del inicio.