Tweet
Revoking vulnerable Windows boot managers/Actualización de revocación de arranque seguro (Secure Boot UEFI)
Quiero confirmar los certificados UEFI que caducan en 2026
KB5036210: Implementar el certificado de CA 2023 de la UEFI de Windows en la base de datos de firmas permitidas de arranque seguro (DB)
Actualización de las claves de arranque seguro de Microsoft.:
La configuración de Secure Boot DB y KEK para dispositivos Windows se ha mantenido igual desde Windows 8. Microsoft requiere que cada OEM incluya los mismos tres certificados administrados por Microsoft para Windows y en soporte del ecosistema de sistema operativo y hardware de terceros. Estos incluyen Microsoft Corporation KEK CA 2011 almacenado en la base de datos KEK y dos certificados almacenados en la base de datos llamados Microsoft Windows Production PCA 2011 , que firma el gestor de arranque de Windows , y Microsoft UEFI CA 2011 (o UEFI CA de terceros). que firma componentes de controladores de hardware y sistemas operativos de terceros.
Estos tres certificados de Microsoft caducan en 2026. Por lo tanto, en colaboración con nuestros socios del ecosistema, Microsoft se está preparando para implementar certificados de reemplazo que establecerán nuevos anclajes de confianza UEFI CA para el futuro. Microsoft implementará actualizaciones de la base de datos de arranque seguro en fases para agregar confianza a los nuevos certificados DB y KEK. La primera actualización de la base de datos agregará Microsoft Windows UEFI CA 2023 a la base de datos del sistema. El nuevo Microsoft Windows UEFI CA 2023 se utilizará para firmar componentes de arranque de Windows antes de que expire el Windows Production CA 2011 .
Pasos formales de actualización de la base de datos (DB)
Implementar el certificado de CA 2023 de LA UEFI de Windows en la base de datos de firmas permitidas de arranque seguro (DB)
Aplique la actualización de seguridad de febrero de 2024 (o posterior) KB5036210.
Para comprobar que esta actualizado.:
La consulta a la base datos DB.:
Powershell (adm)
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True (si aparece está todo correcto)
Pasos formales de actualización de la base de datos (en caso contrario True, si aparece false)
Powershell (adm)
Establezca la clave de registro en
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ” -Name “AvailableUpdates” -Value 0x40
Ejecute la siguiente tarea programada como.:
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
Reinicie la máquina dos veces después de ejecutar estos comandos para confirmar que la máquina se está iniciando con la base de datos actualizada.
Para verificar que la actualización de Secure Boot DB se haya realizado correctamente, repetimos el comando.:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
KB5025885: Cómo administrar las revocaciones de la Administración de arranque de Windows para cambios en el arranque seguro asociados con CVE-2023-24932
IMPORTANTE Debes aplicar el paquete de actualización de seguridad de Windows publicado a partir del 9 de julio de 2024 como parte del proceso de actualización mensual habitual.
Este artículo se aplica a las organizaciones que deben empezar a evaluar mitigaciones en función de una omisión de arranque seguro divulgada públicamente y aprovechada por el bootkit UEFI BlackLotus. Además, es posible que quiera adoptar una postura de seguridad proactiva o empezar a prepararse para el lanzamiento de paquete. Tenga en cuenta que este malware requiere acceso físico o administrativo al dispositivo.
PRECAUCIÓN Después de habilitar la mitigación de este problema en un dispositivo, lo que significa que se han aplicado las mitigaciones, esta no se puede revertir si sigue usando el arranque seguro en ese dispositivo. Incluso volver a formatear el disco no quitará las revocaciones si ya se han aplicado. Tenga en cuenta todas las posibles implicaciones y realice pruebas exhaustivas antes de aplicar las revocaciones que se describen en este artículo al dispositivo.
Cronograma de las actualizaciones.:
Las actualizaciones se publicarán de la siguiente manera:
Implementación inicial
Esta fase se inició con las actualizaciones publicadas el 9 de mayo de 2023 y proporcionó mitigaciones básicas con pasos manuales para habilitar esas mitigaciones.
Segunda implementación
Esta fase se inició con las actualizaciones publicadas el 11 de julio de 2023, que agregaron pasos simplificados para habilitar las mitigaciones para el problema.
Fase de evaluación
Esta fase comenzará el 9 de abril de 2024 y agregará mitigaciones adicionales para el administrador de arranque.
Fase de implementación
Aquí es cuando animaremos a todos los clientes a empezar a implementar las mitigaciones y actualizar los medios.
Fase de cumplimiento
Fase de aplicación que hará que las mitigaciones sean permanentes. La fecha de esta fase se anunciará más adelante.
Powershell (Adm).:
Confirm-SecureBootUEFI
True (Confirma Secure Boot activo)
Estos son los que me tienen preocupado.:
C:\Windows\Boot\EFI\bootmgfw.efi
C:\Windows\Boot\EFI\bootmgr.efi
-Propiedades
-Firmas digitales
(sobre la firma) -Detalles
-General "Ver certificado" (válido hasta 14/11/2024)
"Ver certificado" "Ruta de certificación"
"Microsoft Windows Production PCA 2011"
"Ver certificado" (válido hasta 19/06/2026)
En certmgr.msc
Localizo en.:
Entidades de certificación de terceros\certificados.:
Microsoft Root Certificate Authority 2011 (válido hasta 2036)
Entidades de certificación intermedias.:
Certificados:
Microsoft Windows Production PCA 2011 (válido hasta 2026)
Personal
Certificados
(aquí aparecen las firmas digitales de la FNMT por ejemplo)
Notas sobre Secure Boot UEFI de terceros no actualizados.:
Al encender el equipo, puede aparecer el siguiente mensaje antes de iniciar Windows:
Selected boot image did not authenticate (La imagen de arranque seleccionada no se ha autenticado).
Esto ocurre cuando se utiliza una herramienta de software UEFI de terceros (como un software de encriptación de cargador de arranque o punto de conexión) o cuando se utiliza hardware con una ROM de opción que no está firmado adecuadamente según los requisitos de PC de núcleo protegido de Microsoft.
Este problema se produce porque los requisitos de PC de núcleo protegido de Microsoft ya no permiten que los equipos ejecuten el código UEFI firmado con el CA UEFI de terceros de Microsoft.
La decisión de Microsoft de no permitir la autenticación de software firmado de esta manera tiene como objetivo hacer frente a los posibles riesgos de seguridad con los cargadores de arranque de terceros limitando el código que un equipo determinado puede ejecutar antes del arranque.
No se ven afectados los equipos que no son compatibles con el modo de espera moderno o que no cuentan con la tecnología Intel vPro o AMD Ryzen Pro.
Los equipos que se hayan pedido como preparados para Linux no se ven afectados, ya que necesitan usar un cargador de arranque de terceros (por ejemplo, Grub).
Quiero confirmar los certificados UEFI que caducan en 2026
KB5036210: Implementar el certificado de CA 2023 de la UEFI de Windows en la base de datos de firmas permitidas de arranque seguro (DB)
Actualización de las claves de arranque seguro de Microsoft.:
La configuración de Secure Boot DB y KEK para dispositivos Windows se ha mantenido igual desde Windows 8. Microsoft requiere que cada OEM incluya los mismos tres certificados administrados por Microsoft para Windows y en soporte del ecosistema de sistema operativo y hardware de terceros. Estos incluyen Microsoft Corporation KEK CA 2011 almacenado en la base de datos KEK y dos certificados almacenados en la base de datos llamados Microsoft Windows Production PCA 2011 , que firma el gestor de arranque de Windows , y Microsoft UEFI CA 2011 (o UEFI CA de terceros). que firma componentes de controladores de hardware y sistemas operativos de terceros.
Estos tres certificados de Microsoft caducan en 2026. Por lo tanto, en colaboración con nuestros socios del ecosistema, Microsoft se está preparando para implementar certificados de reemplazo que establecerán nuevos anclajes de confianza UEFI CA para el futuro. Microsoft implementará actualizaciones de la base de datos de arranque seguro en fases para agregar confianza a los nuevos certificados DB y KEK. La primera actualización de la base de datos agregará Microsoft Windows UEFI CA 2023 a la base de datos del sistema. El nuevo Microsoft Windows UEFI CA 2023 se utilizará para firmar componentes de arranque de Windows antes de que expire el Windows Production CA 2011 .
Pasos formales de actualización de la base de datos (DB)
Implementar el certificado de CA 2023 de LA UEFI de Windows en la base de datos de firmas permitidas de arranque seguro (DB)
Aplique la actualización de seguridad de febrero de 2024 (o posterior) KB5036210.
Para comprobar que esta actualizado.:
La consulta a la base datos DB.:
Powershell (adm)
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True (si aparece está todo correcto)
Pasos formales de actualización de la base de datos (en caso contrario True, si aparece false)
Powershell (adm)
Establezca la clave de registro en
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot ” -Name “AvailableUpdates” -Value 0x40
Ejecute la siguiente tarea programada como.:
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
Reinicie la máquina dos veces después de ejecutar estos comandos para confirmar que la máquina se está iniciando con la base de datos actualizada.
Para verificar que la actualización de Secure Boot DB se haya realizado correctamente, repetimos el comando.:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
KB5025885: Cómo administrar las revocaciones de la Administración de arranque de Windows para cambios en el arranque seguro asociados con CVE-2023-24932
IMPORTANTE Debes aplicar el paquete de actualización de seguridad de Windows publicado a partir del 9 de julio de 2024 como parte del proceso de actualización mensual habitual.
Este artículo se aplica a las organizaciones que deben empezar a evaluar mitigaciones en función de una omisión de arranque seguro divulgada públicamente y aprovechada por el bootkit UEFI BlackLotus. Además, es posible que quiera adoptar una postura de seguridad proactiva o empezar a prepararse para el lanzamiento de paquete. Tenga en cuenta que este malware requiere acceso físico o administrativo al dispositivo.
PRECAUCIÓN Después de habilitar la mitigación de este problema en un dispositivo, lo que significa que se han aplicado las mitigaciones, esta no se puede revertir si sigue usando el arranque seguro en ese dispositivo. Incluso volver a formatear el disco no quitará las revocaciones si ya se han aplicado. Tenga en cuenta todas las posibles implicaciones y realice pruebas exhaustivas antes de aplicar las revocaciones que se describen en este artículo al dispositivo.
Cronograma de las actualizaciones.:
Las actualizaciones se publicarán de la siguiente manera:
Implementación inicial
Esta fase se inició con las actualizaciones publicadas el 9 de mayo de 2023 y proporcionó mitigaciones básicas con pasos manuales para habilitar esas mitigaciones.
Segunda implementación
Esta fase se inició con las actualizaciones publicadas el 11 de julio de 2023, que agregaron pasos simplificados para habilitar las mitigaciones para el problema.
Fase de evaluación
Esta fase comenzará el 9 de abril de 2024 y agregará mitigaciones adicionales para el administrador de arranque.
Fase de implementación
Aquí es cuando animaremos a todos los clientes a empezar a implementar las mitigaciones y actualizar los medios.
Fase de cumplimiento
Fase de aplicación que hará que las mitigaciones sean permanentes. La fecha de esta fase se anunciará más adelante.
Powershell (Adm).:
Confirm-SecureBootUEFI
True (Confirma Secure Boot activo)
Estos son los que me tienen preocupado.:
C:\Windows\Boot\EFI\bootmgfw.efi
C:\Windows\Boot\EFI\bootmgr.efi
-Propiedades
-Firmas digitales
(sobre la firma) -Detalles
-General "Ver certificado" (válido hasta 14/11/2024)
"Ver certificado" "Ruta de certificación"
"Microsoft Windows Production PCA 2011"
"Ver certificado" (válido hasta 19/06/2026)
En certmgr.msc
Localizo en.:
Entidades de certificación de terceros\certificados.:
Microsoft Root Certificate Authority 2011 (válido hasta 2036)
Entidades de certificación intermedias.:
Certificados:
Microsoft Windows Production PCA 2011 (válido hasta 2026)
Personal
Certificados
(aquí aparecen las firmas digitales de la FNMT por ejemplo)
Notas sobre Secure Boot UEFI de terceros no actualizados.:
Al encender el equipo, puede aparecer el siguiente mensaje antes de iniciar Windows:
Selected boot image did not authenticate (La imagen de arranque seleccionada no se ha autenticado).
Esto ocurre cuando se utiliza una herramienta de software UEFI de terceros (como un software de encriptación de cargador de arranque o punto de conexión) o cuando se utiliza hardware con una ROM de opción que no está firmado adecuadamente según los requisitos de PC de núcleo protegido de Microsoft.
Este problema se produce porque los requisitos de PC de núcleo protegido de Microsoft ya no permiten que los equipos ejecuten el código UEFI firmado con el CA UEFI de terceros de Microsoft.
La decisión de Microsoft de no permitir la autenticación de software firmado de esta manera tiene como objetivo hacer frente a los posibles riesgos de seguridad con los cargadores de arranque de terceros limitando el código que un equipo determinado puede ejecutar antes del arranque.
No se ven afectados los equipos que no son compatibles con el modo de espera moderno o que no cuentan con la tecnología Intel vPro o AMD Ryzen Pro.
Los equipos que se hayan pedido como preparados para Linux no se ven afectados, ya que necesitan usar un cargador de arranque de terceros (por ejemplo, Grub).