10/05/2023    

BOLETÍN NRO 2023-287

Microsoft ha lanzado una actualización de seguridad el 9 de mayo de 2023 para abordar una vulnerabilidad crítica en el administrador de arranque de Windows (CVE-2023-24932), que permite que un atacante ejecute código auto firmado en el nivel de la interfaz de firmware extensible unificada (UEFI) mientras el arranque seguro está habilitado. La explotación exitosa de esta vulnerabilidad depende de que el atacante tenga acceso físico o privilegios de administrador local en el dispositivo objetivo.

La actualización de seguridad contiene una corrección para el administrador de arranque de Windows, pero está deshabilitada de forma predeterminada y no proporcionará protecciones. Los clientes deben seguir un procedimiento manual que requiere varios pasos para actualizar los dispositivos de arranque y aplicar las revocaciones antes de habilitar esta actualización. Para habilitar manualmente las protecciones para el error de omisión de arranque seguro CVE-2023-24932, los clientes deben seguir los pasos en un orden específico.

Microsoft también está adoptando un enfoque por etapas para hacer cumplir las protecciones que abordan esta falla de seguridad para reducir el impacto en el cliente debido a la habilitación de las protecciones CVE-2023-24932. El cronograma de implementación incluye tres fases. La primera fase, que comenzó el 9 de mayo de 2023, proporciona una solución inicial para CVE-2023-24932, pero requiere una acción adicional del cliente para implementar completamente las protecciones. La segunda fase, que comenzará el 11 de julio de 2023, proporcionará opciones de actualización adicionales para simplificar la implementación de las protecciones. La tercera fase, que comenzará en el primer trimestre de 2024, habilitará la solución para CVE-2023-24932 de forma predeterminada y hará cumplir las revocaciones del gestor de arranque en todos los dispositivos Windows.

Microsoft advirtió a los clientes que una vez que las mitigaciones CVE-2023-24932 estén completamente implementadas, no hay forma de revertir los cambios. Si continúa utilizando el arranque seguro en un dispositivo después de habilitar la mitigación de este problema, no podrá revertir las revocaciones.

Indicadores de Compromiso

URL

hxxp[:]//myrepository[.]name/network/API/hpb_gate[.]php

Hash

MD5: 29b68697b9e21fa5bc0c129dccdd868b

SHA-256: c782c7ad58a155b052f3749c83e0bd463268974e26a2c98d6aeccd8b4f4a0925

MD5: 631464a82023dbbb2c58440909685155

SHA-256: c769330b4381788cf2909b49bbb0c3eb1bc28c638156015dbd69a2f9a3a32d94

MD5: 275784e460dc953a1080c050d2b175e4

SHA-256: 97fd8cb10c9047a72b05918358c9b400b802ea79367ed2b905242c270ebca574

MD5: 890c2bbb6caec63226166b1ac9ca5bb7

SHA-256: b157a9e4aa6becf6f82248905aaa22c1eed01463dfc7acfda044aadc22c75c2d

MD5: 168bbd69b14f8c4cba58150c3ca40aa3

SHA-256: a7933ce38ddd89fb38a74b46eb82d9da9b85ac8c04c646501a4ba1dd9a373ef2

MD5: a42249a046182aaaf3a7a7db98bfa69d

SHA-256: f8236fc01d4efaa48f032e301be2ebba4036b2cd945982a29046eca03944d2ae

MD5: 4ad8fd9e83d7200bd7f8d0d4a9abfb11

SHA-256: 749b0e8c8c8b7dda8c2063c708047cfe95afa0a4d86886b31a12f3018396e67c

MD5: dcc01dcece6b53fab7a09fedf494fa44

SHA-256: 3952290ef7944253b260367fbcdb554480791cdcdb3cd0a08f2684c72349694d