Tweet
Microsoft ahora está comenzando a integrar el nuevo certificado “Windows UEFI CA 2023” en sus propios ISO.
Por eso Rufus indica el error UEFI si la ISO tiene el certificado anterior 2021
El trasfondo es el problema de seguridad en el certificado “Windows Production PCA 2011” que todavía está en uso.
Una fase de implementación se desarrolló desde mayo de 2023 hasta julio de 2024. Ya se puede configurar archivos de bloqueo (política de inicio de integridad del código y lista de no permitidos de inicio seguro (DBX)) manualmente.
Después de eso, los ISO que no contengan el nuevo certificado ya no serán aceptados (con Secure Boot activado).
En el nuevo Windows ADK 10.1.26100.2454 de diciembre de 2024, el nuevo certificado ya se agregó al arranque BCD.
Puede suponer que los otros medios (ISO de Windows) y las actualizaciones seguirán en los próximos meses.
Está previsto que la cuarta etapa comience seis meses después del final de la fase de despliegue . Sería febrero de 2025.
Cualquiera que actualmente cree sus ISO en un dispositivo con Rufus recibirá una notificación de que la ISO actualmente en uso aún no utiliza el nuevo certificado “Windows UEFI CA 2023”.
Esto es sólo una pista. El propio ISO está empaquetado en el dispositivo.
Esto ocurre con MVS o MCT ISO de MS y resto de ISO.
Esto se debe a KB5025885. Los ISO todavía usan el antiguo 'Microsoft Windows Production PCA 2011' y aún no el nuevo 'Windows UEFI CA 2023'.
Rufus advierte como precaución. Si activó manualmente KB5025885 por completo, el ISO/stick ya no se iniciará con el arranque seguro activado.
Cuando Microsoft entregue la actualización, probablemente a partir de febrero de 2025, las ISO antiguas ya no se iniciarán sin un nuevo certificado.
A menos que desactives el arranque seguro en UEFI (Secure Boot).
Los atacantes que tienen acceso a la computadora, ya sea directa o remotamente, pueden omitir la función de inicio seguro utilizando el kit de inicio BlackLotus UEFI.
También hay un exploit en circulación para esto. Por lo tanto, es una brecha que debe tomarse en serio.
Microsoft comenzó a cerrar esta brecha. “Debido a los cambios de seguridad requeridos por CVE-2023-24932 y descritos en este artículo, se deben aplicar bloqueos a los dispositivos Windows compatibles. Después de aplicar estos bloqueos, los dispositivos no podrán arrancar intencionalmente utilizando medios de recuperación o instalación, a menos que esos medios se hayan actualizado con actualizaciones de seguridad publicadas a partir del 9 de mayo de 2023.
Esto incluye medios de arranque, como: Por ejemplo, discos, unidades externas, recuperación de arranque de red y recuperación de imágenes”.
Debéis tener "true" como salida con el comando Powershell (adm).:
Esto es solo para tener preparados los equipos para que admitan el nuevo certificado, no que Rufus eliminará el mensaje de revocado
(hasta que las ISO tengan implementado el certificado Windows UEFI CA 2023)
Por eso Rufus indica el error UEFI si la ISO tiene el certificado anterior 2021
El trasfondo es el problema de seguridad en el certificado “Windows Production PCA 2011” que todavía está en uso.
Una fase de implementación se desarrolló desde mayo de 2023 hasta julio de 2024. Ya se puede configurar archivos de bloqueo (política de inicio de integridad del código y lista de no permitidos de inicio seguro (DBX)) manualmente.
Después de eso, los ISO que no contengan el nuevo certificado ya no serán aceptados (con Secure Boot activado).
En el nuevo Windows ADK 10.1.26100.2454 de diciembre de 2024, el nuevo certificado ya se agregó al arranque BCD.
Puede suponer que los otros medios (ISO de Windows) y las actualizaciones seguirán en los próximos meses.
Está previsto que la cuarta etapa comience seis meses después del final de la fase de despliegue . Sería febrero de 2025.
Cualquiera que actualmente cree sus ISO en un dispositivo con Rufus recibirá una notificación de que la ISO actualmente en uso aún no utiliza el nuevo certificado “Windows UEFI CA 2023”.
Esto es sólo una pista. El propio ISO está empaquetado en el dispositivo.
Esto ocurre con MVS o MCT ISO de MS y resto de ISO.
Esto se debe a KB5025885. Los ISO todavía usan el antiguo 'Microsoft Windows Production PCA 2011' y aún no el nuevo 'Windows UEFI CA 2023'.
Rufus advierte como precaución. Si activó manualmente KB5025885 por completo, el ISO/stick ya no se iniciará con el arranque seguro activado.
Cuando Microsoft entregue la actualización, probablemente a partir de febrero de 2025, las ISO antiguas ya no se iniciarán sin un nuevo certificado.
A menos que desactives el arranque seguro en UEFI (Secure Boot).
Los atacantes que tienen acceso a la computadora, ya sea directa o remotamente, pueden omitir la función de inicio seguro utilizando el kit de inicio BlackLotus UEFI.
También hay un exploit en circulación para esto. Por lo tanto, es una brecha que debe tomarse en serio.
Microsoft comenzó a cerrar esta brecha. “Debido a los cambios de seguridad requeridos por CVE-2023-24932 y descritos en este artículo, se deben aplicar bloqueos a los dispositivos Windows compatibles. Después de aplicar estos bloqueos, los dispositivos no podrán arrancar intencionalmente utilizando medios de recuperación o instalación, a menos que esos medios se hayan actualizado con actualizaciones de seguridad publicadas a partir del 9 de mayo de 2023.
Esto incluye medios de arranque, como: Por ejemplo, discos, unidades externas, recuperación de arranque de red y recuperación de imágenes”.
Debéis tener "true" como salida con el comando Powershell (adm).:
Código:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Esto es solo para tener preparados los equipos para que admitan el nuevo certificado, no que Rufus eliminará el mensaje de revocado
(hasta que las ISO tengan implementado el certificado Windows UEFI CA 2023)
Comentario