Las actualizaciones del martes de parches de mayo de 2023 de Microsoft comprenden exactamente el tipo de combinación que probablemente esperaba.
Si vas por números, hay 38 vulnerabilidades, de los cuales siete se consideran críticos: seis en el propio Windows y uno en SharePoint.
Aparentemente, tres de los 38 hoyos son de día cero, porque ya son conocidos públicamente y al menos uno de ellos ya ha sido explotado activamente por los ciberdelincuentes.
Desafortunadamente, esos delincuentes parecen incluir a la notoria pandilla de ransomware Black Lotus, por lo que es bueno ver que se entregó un parche para este agujero de seguridad salvaje, apodado CVE-2023-24932: Vulnerabilidad de omisión de la función de seguridad de arranque seguro.
Sin embargo, aunque obtendrá el parche si realiza una descarga completa del martes de parches y deja que se complete la actualización...
…no se aplicará automáticamente.
Para activar las correcciones de seguridad necesarias, deberá leer y absorber un Publicación de 500 palabras llamado Orientación relacionada con los cambios de Secure Boot Manager asociados con CVE-2023-24932.
Luego, tendrá que trabajar a través de un referencia instructiva que corre a casi 3000 palabras.
ese se llama KB5025885: Cómo administrar las revocaciones del Administrador de arranque de Windows para los cambios de Arranque seguro asociados con CVE-2023-24932.
El problema con la revocación
Si ha seguido nuestra cobertura reciente de la Violación de datos de MSI, sabrá que se trata de claves criptográficas relevantes para la seguridad del firmware que supuestamente fueron robadas del gigante de la placa base MSI por una pandilla diferente de ciberextorsionadores que se hacen llamar Money Message.
También sabrá que los comentaristas de los artículos que hemos escrito sobre el incidente de MSI han preguntado: "¿Por qué MSI no revoca inmediatamente las claves robadas, deja de usarlas y luego lanza un nuevo firmware firmado con nuevas claves?"
Como explicamos en el contexto de esa historia, rechazar las claves de firmware comprometidas para bloquear un posible código de firmware no autorizado puede provocar muy fácilmente un mal caso de lo que se conoce como "la ley de las consecuencias no deseadas".
Por ejemplo, puede decidir que el primer y más importante paso es decirme que no confíe más en nada que esté firmado por la clave XYZ, porque ese es el que está comprometido.
Después de todo, revocar la llave robada es la forma más rápida y segura de hacer que sea inútil para los ladrones, y si eres lo suficientemente rápido, incluso podrías cambiar la cerradura antes de que tengan la oportunidad de probar la llave.
Pero se puede ver a dónde va esto.
Si mi computadora revoca la clave robada en preparación para recibir una clave nueva y un firmware actualizado, pero mi computadora se reinicia (accidentalmente o no) en el momento equivocado...
…entonces ya no se confiará en el firmware que ya tengo, y no podré arrancar, ni desde el disco duro, ni desde el USB, ni desde la red, probablemente no en absoluto, porque no obtendré en cuanto al punto en el código de firmware donde podía cargar cualquier cosa desde un dispositivo externo.
Una abundancia de precaución
En el caso CVE-2023-24932 de Microsoft, el problema no es tan grave porque el parche completo no invalida el firmware existente en la placa base.
El parche completo consiste en actualizar el código de inicio de Microsoft en la partición de inicio de su disco duro y luego decirle a su placa base que no confíe más en el antiguo e inseguro código de inicio.
En teoría, si algo sale mal, aún debería poder recuperarse de una falla de arranque del sistema operativo simplemente iniciando desde un disco de recuperación que preparó anteriormente.
Excepto que su computadora no confiará en ninguno de sus discos de recuperación existentes en ese momento, suponiendo que incluyan componentes de tiempo de arranque que ahora han sido revocados y, por lo tanto, su computadora no los aceptará.
Una vez más, es probable que aún pueda recuperar sus datos, si no toda la instalación del sistema operativo, utilizando una computadora que haya sido parcheada por completo para crear una imagen de recuperación completamente actualizada con el nuevo código de inicio, suponiendo que tenga una computadora de repuesto a mano para hacer eso.
O puede descargar una imagen de instalación de Microsoft que ya se actualizó, suponiendo que tiene alguna forma de obtener la descarga y suponiendo que Microsoft tiene una imagen nueva disponible que coincide con su hardware y sistema operativo.
(Como experimento, acabamos de obtener [2023-05-09:23:55:00Z] la última Evaluación empresarial de Windows 11 de 64 bits Imagen ISO, que se puede usar tanto para la recuperación como para la instalación, pero no se ha actualizado recientemente).
E incluso si usted o su departamento de TI tienen el tiempo y el equipo de repuesto para crear imágenes de recuperación retrospectivamente, seguirá siendo una molestia que consumirá mucho tiempo y de la que todos podrían prescindir, especialmente si está trabajando desde casa y docenas de otras personas de su empresa se han visto bloqueadas al mismo tiempo y necesitan que se les envíen nuevos medios de recuperación.
Descargar, preparar, revocar
Por lo tanto, Microsoft ha incorporado las materias primas que necesita para este parche en los archivos que obtendrá cuando descargue la actualización del martes de parches de mayo de 2023, pero ha decidido deliberadamente no activar todos los pasos necesarios para aplicar el parche automáticamente.
En su lugar, Microsoft insta a que siga un proceso manual de tres pasos como este:
- PASO 1. Obtenga la actualización para que todos los archivos que necesita estén instalados en su disco duro local. Su computadora usará el nuevo código de inicio, pero seguirá aceptando el antiguo código explotable por el momento. Es importante destacar que este paso de la actualización no le dice automáticamente a su computadora que revoque (es decir, que ya no confíe) en el antiguo código de arranque todavía.
- PASO 2. Parche manualmente todos sus dispositivos de arranque (imágenes de recuperación) para que tengan el nuevo código de arranque en ellos. Esto significa que sus imágenes de recuperación funcionarán correctamente con su computadora incluso después de completar el paso 3 a continuación, pero mientras prepara nuevos discos de recuperación, los antiguos seguirán funcionando, por si acaso. (Aquí no vamos a dar instrucciones paso a paso porque hay muchas variantes diferentes; consultar la referencia de microsoft en lugar.)
- PASO 3. Dígale manualmente a su computadora que revoque el código de arranque con errores. Este paso agrega un identificador criptográfico (un hash de archivo) a la lista de bloqueo de firmware de su placa base para evitar que el antiguo código de arranque con errores se use en el futuro, evitando así que CVE-2023-24932 sea explotado nuevamente. Al retrasar este paso hasta después del paso 2, evita el riesgo de quedarse atascado con una computadora que no arranca y, por lo tanto, ya no se puede usar para completar el paso 2.
Como puede ver, si realiza los pasos 1 y 3 juntos de inmediato, pero deja el paso 2 para más tarde y algo sale mal...
…ninguna de sus imágenes de recuperación existentes funcionará más porque contendrán un código de inicio que ya ha sido rechazado y prohibido por su computadora ya completamente actualizada.
Si le gustan las analogías, dejar el paso 3 para el final ayuda a evitar que deje las llaves dentro del automóvil.
Volver a formatear su disco duro local no ayudará si se bloquea, porque el paso 3 transfiere los hash criptográficos del código de inicio revocado del almacenamiento temporal en su disco duro a una lista de "nunca más confiar" que está bloqueada en un almacenamiento seguro en el placa base en sí.
En las palabras oficiales comprensiblemente más dramáticas y repetitivas de Microsoft:
PRECAUCIÓN
Una vez que la mitigación de este problema está habilitada en un dispositivo, lo que significa que se han aplicado las revocaciones, no se puede revertir si continúa usando el Arranque seguro en ese dispositivo. Incluso reformatear el disco no eliminará las revocaciones si ya se han aplicado.
¡Usted ha sido advertido!
Si usted o su equipo de TI están preocupados
Microsoft ha proporcionado un cronograma de tres etapas para esta actualización en particular:
- 2023-05-09 (ahora). El proceso manual completo pero torpe descrito anteriormente se puede usar para completar el parche hoy. Si está preocupado, simplemente puede instalar el parche (paso 1 anterior) pero no hacer nada más en este momento, lo que deja su computadora ejecutando el nuevo código de inicio y, por lo tanto, lista para aceptar la revocación descrita anteriormente, pero aún capaz de iniciar con su discos de recuperación existentes. (Tenga en cuenta, por supuesto, que esto lo deja aún explotable, porque el antiguo código de arranque todavía se puede cargar).
- 2023-07-11 (dos meses). Se prometen herramientas de implementación automática más seguras. Presumiblemente, todas las descargas de instalación oficiales de Microsoft estarán parcheadas para entonces, por lo que incluso si algo sale mal, tendrá una forma oficial de recuperar una imagen de recuperación confiable. En este punto, asumimos que podrá completar el parche de forma segura y sencilla, sin tener que manipular líneas de comando ni piratear el registro manualmente.
- A principios de 2024 (el próximo año). Los sistemas sin parches se actualizarán a la fuerza, incluida la aplicación automática de revocaciones criptográficas que evitarán que los medios de recuperación antiguos funcionen en su computadora, con lo que se espera cerrar el agujero CVE-2023-24932 de forma permanente para todos.
Por cierto, si su computadora no tiene activado el Arranque seguro, simplemente puede esperar a que el proceso de tres etapas anterior se complete automáticamente.
Después de todo, sin el Arranque seguro, cualquier persona con acceso a su computadora podría piratear el código de arranque de todos modos, dado que no hay una protección criptográfica activa para bloquear el proceso de arranque.
¿TENGO EL ARRANQUE SEGURO ACTIVADO?
Puede averiguar si su computadora tiene el Arranque seguro activado ejecutando el comando MSINFO32:
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/
- :posee
- :es
- :no
- :dónde
- $ UP
- 1
- 11
- 15%
- 2023
- 2024
- 23
- 70
- a
- Poder
- Nuestra Empresa
- arriba
- Absoluto
- abundancia
- Aceptar
- aceptado
- de la máquina
- activación
- lector activo
- activamente
- Añade
- Después
- de nuevo
- en contra
- Todos
- pretendidamente
- ya haya utilizado
- también
- Aunque
- an
- y
- cualquier
- nadie
- cualquier cosa
- aplicada
- Aplicá
- La aplicación de
- somos
- AS
- asociado
- At
- autor
- auto
- Automático
- automáticamente
- Hoy Disponibles
- evitar
- lejos
- background-image
- Malo
- prohibido
- BE
- porque
- esto
- antes
- "Ser"
- a continuación
- Negro
- Bloquear
- frontera
- Fondo
- construido
- pero
- by
- , que son
- PUEDEN
- no puede
- de
- case
- cautelosos
- Reubicación
- oportunidad
- cambiado
- Cambios
- cierre
- código
- Color
- compañía
- completar
- Completado
- componentes
- Comprometida
- computadora
- considerado
- contexto
- continue
- podría
- curso
- Protectora
- cobertura
- Para crear
- Los criminales
- crítico
- Crooks
- criptográfico
- ciberdelincuentes
- datos
- decidir
- decidido
- liberado
- Departamento
- despliegue
- descrito
- dispositivo
- Dispositivos
- una experiencia diferente
- Pantalla
- do
- sí
- No
- No
- DE INSCRIPCIÓN
- descargar
- Descargas
- decenas
- verdadero
- doblado
- e
- Más temprano
- pasan fácilmente
- facilita
- suficientes
- Empresa
- Todo
- equipo
- especialmente
- evaluación
- Incluso
- NUNCA
- todos
- ejemplo
- existente
- esperado
- experimento
- explicado
- Explotado
- externo
- Fracaso
- muchos
- más rápido
- Feature
- Obtenido
- Archive
- archivos
- Encuentre
- Nombre
- Fijar
- seguir
- seguido
- fresco
- en
- ser completados
- completamente
- futuras
- Pandillas
- obtener
- conseguir
- gigante
- Donar
- dado
- Go
- Va
- va
- candidato
- corte
- la piratería
- mano
- práctico
- Difícil
- Materiales
- hachís
- Tienen
- altura
- ayuda
- ayuda
- esta página
- Agujero
- Agujeros
- Inicio
- flotar
- Cómo
- Como Hacer
- HTTPS
- i
- identificador
- if
- imagen
- imágenes
- inmediatamente
- importante
- in
- incidente
- incluir
- Incluye
- inseguro
- instalar
- instalación
- Instrucciones
- dentro
- ISO
- IT
- sí mismo
- solo
- Clave
- claves
- Saber
- conocido
- Apellido
- luego
- más reciente
- de derecho criminal
- menos
- Abandonar
- izquierda
- como
- líneas
- Lista
- carga
- local
- cerrado
- por más tiempo
- para lograr
- gestionan
- gerente
- manual
- muchos
- Margen
- materiales
- max-ancho
- Puede..
- sentido
- significa
- Medios
- mensaje
- Microsoft
- podría
- mitigación
- mezcla
- dinero
- más,
- MEJOR DE TU
- msi
- nombre
- hace casi
- necesario
- ¿ Necesita ayuda
- del sistema,
- Nuevo
- Next
- no
- normal
- nada
- notorio
- ahora
- números
- of
- off
- oficial
- Viejo
- on
- ONE
- las
- funcionamiento
- sistema operativo
- or
- Otro
- de otra manera
- nuestros
- salir
- particular
- Patch
- Martes de Parches
- Paul
- Personas
- realizar
- permanentemente
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- punto
- posición
- posible
- Artículos
- Preparar
- preparado
- preparación
- evitar
- la prevención
- probablemente
- Problema
- prometido
- Protección
- previsto
- en público
- Push
- Búsqueda
- ransomware
- Crudo
- Leer
- ready
- aprovecha
- reciente
- recientemente
- Recuperar
- recuperación
- registro
- relacionado
- confianza
- remove
- repetitivo
- Riesgo
- correr
- de manera segura
- mismo
- ahorro
- programa
- seguro
- EN LINEA
- ver
- parecer
- siete
- grave
- sharepoint
- tienes
- firmado
- simplemente
- SEIS
- So
- sólido
- algo
- algo
- Comience a
- inicio
- paso
- pasos
- Sin embargo
- robada
- Detener
- STORAGE
- Historia
- recto
- calle
- SVG
- te
- Todas las funciones a su disposición
- equipo
- les digas
- temporal
- esa
- El
- El futuro de las
- Les
- luego
- Ahí.
- por lo tanto
- ellos
- así
- aquellos
- Tres
- tres pasos
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- prolongado
- a
- hoy
- juntos
- parte superior
- transferencias
- transición
- transparente
- problema
- Confía en
- de confianza
- try
- Martes
- Convertido
- dos
- Comprensiblemente
- hasta
- Actualizar
- actualizado
- Actualizaciones
- actualización
- insta a
- Enlance
- usb
- utilizan el
- usado
- usando
- muy
- vulnerabilidad
- esperar
- Camino..
- we
- WELL
- tuvieron
- cuando
- que
- mientras
- seguirá
- ventanas
- sin
- palabras
- Actividades:
- trabajando
- trabajar desde casa
- preocupado
- escrito
- Mal
- año
- aún
- Usted
- tú
- a ti mismo
- zephyrnet
![T3 Ep123: Alboroto de compromiso de una compañía de criptomonedas [Audio + Texto]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-300x156.png)
