-kOmD--1024x512@diario_abc.jpg)
Microsoft corrige otra vulnerabilidad en Secure Boot de UEFI mediante Bootkits: no importa que reinstales Windows 11, se carga antes del SO
Investigadores de ESET han descubierto una vulnerabilidad grave, identificada como CVE-2024-7344, que afecta a una aplicación UEFI firmada por Microsoft y empleada en diversas herramientas de recuperación del sistema para Windows 11 mediante bootkits. Esta vulnerabilidad permite la implementación de ciertos bootkits incluso cuando el Secure Boot está habilitado, lo que representa una amenaza significativa La entrada Microsoft corrige otra vulnerabilidad en Secure Boot de UEFI mediante Bootkits: no importa que reinstales Windows 11, se carga antes del SO aparece primero en El Chapuzas Informático.
Investigadores de ESET han descubierto una vulnerabilidad grave, identificada como CVE-2024-7344, que afecta a una aplicación UEFI firmada por Microsoft y empleada en diversas herramientas de recuperación del sistema para Windows 11 mediante bootkits. Esta vulnerabilidad permite la implementación de ciertos bootkits incluso cuando el Secure Boot está habilitado, lo que representa una amenaza significativa para la seguridad, que por suerte, ha sido paliada momentáneamente por Microsoft y el software de terceros
Los bootkits son una forma avanzada de malware que actúan antes de que el sistema operativo se cargue, haciéndolos difíciles de detectar. Además, pueden sobrevivir a las reinstalaciones del sistema operativo, lo que los convierte en una amenaza persistente difícil de eliminar. ¿Cómo lo han solucionado entonces los de Redmond?
Microsoft parchea una vulnerabilidad, otra más, en Secure Boot con UEFI para ciertos bootkits
El origen del problema radica en el uso de un cargador PE personalizado dentro de las aplicaciones UEFI vulnerables. Este método evita los servicios confiables como LoadImage y StartImage, que se utilizan para validar los binarios contra bases de datos de confianza (db) y de revocación (dbx).
En lugar de estas medidas, la aplicación vulnerable utiliza un archivo llamado cloak.dat, que contiene imágenes PE cifradas de forma rudimentaria, lo cual tiene "más delito" dada la simpleza del mismo. El cargador personalizado descifra y ejecuta manualmente estos binarios en la memoria sin realizar ninguna validación de seguridad, tiene todas las puertas abiertas y las llaves de las mismas.
Este fallo podría ser explotado por un atacante reemplazando el cargador de arranque del sistema operativo por un binario vulnerable (reloader.efi) y plantando un archivo malicioso en las rutas específicas de la aplicación. En definitiva, es extremadamente simple realizar dicho ataque si se sabe cómo hacerlo.
Software de terceros afectados que son ampliamente utilizados para tareas de mantenimiento y copias de seguridad
La vulnerabilidad para Microsoft afecta herramientas UEFI específicas diseñadas para la recuperación del sistema, el mantenimiento del disco y las copias de seguridad, aunque los atacantes podrían explotarla incluso en sistemas que no tengan instaladas estas aplicaciones mediante dicho bootkit. Entre las herramientas afectadas se encuentran:
- Howyar SysReturn: versiones anteriores a la 10.2.023_20240919
- Greenware GreenGuard: versiones anteriores a la 10.2.023-20240927
- Radix SmartRecovery: versiones anteriores a la 11.2.023-20240927
- Sistema EZ-back de Sanfong: versiones anteriores a la 10.3.024-20241127
- WASAY eRecoveryRX: versiones anteriores a la 8.4.022-20241127
- CES NeoImpact: versiones anteriores a la 10.1.024-20241127
- SignalComputer HDD King: versiones anteriores a la 10.3.021-20241127
Aunque las aplicaciones mencionadas han publicado actualizaciones para corregir el fallo, los usuarios que utilicen versiones antiguas deberían actualizarlas de inmediato por motivos obvios de seguridad.
El problema con esta vulnerabilidad de Microsoft se sabe desde el 8 de julio de 2024, donde ESET identificó y notificó esta vulnerabilidad al Centro de Coordinación CERT (CERT/CC) para que se coordinara su divulgación con las partes afectadas. Durante los meses siguientes, los desarrolladores trabajaron en conjunto con ESET para evaluar los parches propuestos y resolver el problema de seguridad.
Más de medio año después tenemos los parches
Finalmente, el 14 de enero de 2025, Microsoft revocó los certificados digitales de las aplicaciones comprometidas mediante una actualización de seguridad distribuida como parte del martes de parches, ya típico de los de Redmond. Esta medida bloquea la ejecución de los binarios vulnerables, impidiendo que se utilicen para explotar el fallo. La actualización se aplica automáticamente a los usuarios que mantienen sus sistemas al día.
Además, ESET ha publicado comandos de PowerShell para que los administradores de sistemas puedan verificar manualmente si las revocaciones se han implementado correctamente, especialmente en entornos críticos donde la seguridad es prioritaria.
Para finalizar, todas las partes instan a los usuarios afectados a tomar medidas inmediatas para proteger sus sistemas. Esto incluye actualizar las herramientas vulnerables a las versiones más recientes, que corrigen la vulnerabilidad en origen, así como instalar la última actualización de Windows.
La entrada Microsoft corrige otra vulnerabilidad en Secure Boot de UEFI mediante Bootkits: no importa que reinstales Windows 11, se carga antes del SO aparece primero en El Chapuzas Informático.
What's Your Reaction?
