Header Ads Widget

Ticker

6/recent/ticker-posts

El lío detrás del parche UEFI de Microsoft KB 4524244

Parche El verdaderamente extraño parche de Win10 KB 4524244 del martes causó estragos antes de que finalmente se retirara el viernes por la noche. Desde entonces, han surgido acusaciones sobre Kaspersky, en particular, y la complicidad de Microsoft en la firma de un rootkit. Hay mucha culpa para todos, y mucho más en la historia.


¿Recuerda la advertencia sobre mirar cómo se hacen las salchichas? Esta es una historia de fabricación de salchichas electrónicas con muchos pedacitos sucios.

Primero, la cronología. El martes de parches de febrero, Microsoft lanzó un extraño parche de seguridad independiente, KB 4524244, que luego se llamó "Actualización de seguridad para Windows 10, versión 1607, 1703, 1709, 1803, 1809 y 1903: 11 de febrero de 2020". El nombre ha cambiado, pero tengan paciencia conmigo.

Los problemas originales con KB 4524244
Ese parche tenía todo tipo de extraños sellos como lo comenté en ese momento :

Es un parche de seguridad independiente. Ya no recibimos parches de seguridad independientes. Casi invariablemente se convierten en actualizaciones acumulativas.
Parecía estar dirigido a un administrador de arranque UEFI descarriado. Del artículo de KB:
Soluciona un problema en el que un administrador de arranque de la Interfaz de firmware extensible unificada (UEFI) de terceros podría exponer las computadoras habilitadas para UEFI a una vulnerabilidad de seguridad.

El título del artículo de la base de conocimientos era claramente incorrecto. La versión 1909 de Win10 no se mencionó en el artículo de KB, pero el parche 1909 apareció en el Catálogo de Microsoft. 
Ese parche con errores fue acompañado por un parche paralelo para versiones anteriores de Windows, KB 4502496 , llamado "Actualización de seguridad para Windows 10, versión 1507, Windows 8.1, RT 8.1, Server 2012 R2 y Server 2012: 11 de febrero de 2020". Esta vez el nombre era correcto. Pero el parche Win8.1 / 1507 tenía los mismos errores y corrió la misma suerte que su cómplice más ilustre, KB 4524244.

Que salió mal
El parche causó estragos en muchas PC, sobre todo en las PC HP con procesadores Ryzen. Los propietarios de HP con Arranque seguro habilitado (más sobre eso más adelante) informaron que sus PC no se reiniciarían normalmente y, cuando se vio forzado, el BIOS de HP dijo que detectó un cambio no autorizado en las claves de arranque seguro y tuvo que restaurar .

Hay un segundo error en los parches, identificado por separado en la página de estado de Información de la versión de Windows :

El uso de la función “Restablecer esta PC”, también denominada “Restablecer con botón pulsador” o PBR, puede fallar. Puede reiniciar la recuperación con "Elija una opción" en la parte superior de la pantalla con varias opciones o puede reiniciar en su escritorio y recibir el error "Hubo un problema al restablecer su PC".

Los archivos dentro del parche tenían fecha de septiembre de 2019, hace cinco meses. Como dice @ abbodi86 en AskWoody :

El parche se creó por primera vez en septiembre de 2019, por lo que estuvo en pruebas durante casi 5 meses, y eso aún no fue suficiente para hacerlo bien.

Microsoft ha sabido sobre el problema de seguridad del cargador UEFI desde abril de 2019, si no antes. Se necesitaron diez meses para impulsar una solución, y una solución de errores en eso.

Rootkits autorizados por Microsoft
Entonces, ¿qué, realmente, se estaba parcheando en KB 4524244? La descripción oficial entonces, e incluso ahora, tiene muy poca sustancia.

No pasó mucho tiempo para que Twitterverse señalara con el dedo a Kaspersky como la fuente del administrador de arranque UEFI defectuoso, pero ¿por qué Microsoft emitiría un parche de Windows separado (en realidad, dos parches) específicamente para bloquear el producto de Kaspersky? ¿Y qué había hecho Kaspersky para merecer ese trato?

Eso nos lleva a la parte de la historia de la elaboración de salchichas.

Kaspersky, al igual que otras compañías antivirus, incluye la capacidad de crear un disco de arranque, en este caso, el "Kaspersky Rescue Disk", que le permitirá arrancar su computadora incluso si las partes internas de su PC se han visto comprometidas. Para utilizar Kaspersky Rescue Disk, como otros discos de arranque de recuperación, debe tener acceso físico a la PC.

El problema es que una versión anterior de Kaspersky Rescue Disk permitía a los atacantes con acceso físico a su máquina iniciar la PC en un sistema operativo potencialmente dañino, incluso si tiene habilitado el Arranque seguro. Se supone que el Arranque seguro hace imposible el uso de un disco de recuperación para arrancar en cualquier sistema operativo que no haya sido aprobado previamente, pero esta versión anterior de Kaspersky Rescue Disk no siguió las reglas de Arranque seguro.

Kaspersky se enteró del agujero de seguridad en abril de 2019, lo conectó a los sistemas que ejecutan la protección de punto final de Kaspersky, pero no lanzó una actualización para Kaspersky Rescue Disk hasta agosto de 2019. 

Para agravar el problema está el hecho de que Microsoft firmó el antiguo programa Kaspersky Rescue Disk, por lo que Secure Boot continuó reconociendo los antiguos Kaspersky Rescue Disks como válidos hasta principios de este mes. Puede minar la terminología y argumentar que todos los fabricantes de antivirus lo hacen, pero de cualquier manera que lo corte, el programa Kaspersky Rescue Disk es un rootkit o, más exactamente, un bootkit.

Si suena extraño que Microsoft firmara un programa de Kaspersky, una rutina de rootkit, además, no lo es. El blogger ruso ValdikSS explicó el enigma en su publicación de abril de 2019 " Explotación de cargadores de arranque firmados para eludir el arranque seguro de UEFI " :

El firmware de las placas base de PC modernas sigue la especificación UEFI desde 2010. En 2013, apareció una nueva tecnología llamada Secure Boot, destinada a evitar que los bootkits se instalen y ejecuten. El arranque seguro evita la ejecución de código de programa sin firmar o que no es de confianza (programas .efi y cargadores de arranque del sistema operativo, firmware de hardware adicional como tarjetas de video y adaptadores de red OPROM).

El arranque seguro puede desactivarse en cualquier placa base comercial, pero un requisito obligatorio para cambiar su estado es la presencia física del usuario en la computadora. Es necesario ingresar la configuración de UEFI cuando la computadora arranca, y solo entonces es posible cambiar la configuración de Arranque seguro.

La mayoría de las placas base incluyen solo claves de Microsoft como confiables, lo que obliga a los proveedores de software de arranque a pedirle a Microsoft que firme sus cargadores de arranque. Este proceso incluye el procedimiento de auditoría de código y la justificación de la necesidad de firmar su archivo con una clave de confianza global si desean que el disco o la memoria flash USB funcionen en el modo de arranque seguro sin agregar su clave en cada computadora manualmente.

Así que Microsoft firmó, y de manera bastante intencionada, rootkits. Er, bootkits. De esa forma, los discos de restauración de emergencia pueden funcionar. 

Revocación de la firma UEFI
Microsoft puede cambiar de opinión sobre la autorización de seguridad de sus programas de derivación UEFI aprobados por Microsoft en cualquier momento, pero para hacerlo tiene que agregar la aplicación que ya no es de confianza a algo llamado Archivo de lista de revocación UEFI , que a su vez actualiza Secure Arranque la base de datos de firmas prohibidas. 

¿Aún conmigo?

Aquí está el problema. KB 4524244 y KB 4502496 agregan la antigua rutina de Kaspersky Rescue Disk a la base de datos de firmas prohibidas de arranque seguro de su PC, por lo que no será reconocida como una aplicación aprobada por Microsoft. Pero, por razones que no están del todo claras, jugar con las restricciones de arranque seguro de UEFI rompió otros programas, sobre todo la rutina de arranque para PC HP con procesadores Ryzen. Puede haber otros daños colaterales.

Alguien en Microsoft puede saber lo que salió mal, pero ciertamente no se lo están contando a nadie.

¿Qué hizo mal Kaspersky?
Nada. Aparte de distribuir un programa de Kaspersky Rescue Disk, antes de agosto de 2019, que podría usarse para propósitos nefastos. 

Kaspersky tiene una descripción detallada, y, por lo que puedo decir, precisa, de la debacle en unas preguntas frecuentes recientemente publicadas . 

La conclusión clave, "Los productos de Kaspersky no han sido la causa de este problema", refiriéndose a los errores en KB 4524244, suena cierta. El problema radica en algún otro conflicto, que no se solucionó en cinco meses de pruebas.

Parece como si Microsoft acabara de probar su parche en una máquina HP con un procesador Ryzen, no estaríamos en este lío. Pero ... Microsoft.

¿Qué sigue?
Microsoft ha retirado el parche . No se insertará en su máquina. Ni siquiera puede descargarlo del Catálogo de actualizaciones. 

Si instaló KB 4524244 o KB 4502496 en su PC (Inicio> Configuración> Actualización y seguridad, haga clic en Ver historial de actualizaciones) y su máquina aún funciona, está bien. La antigua firma de Kaspersky Rescue Disk está en su base de datos de firmas prohibidas de arranque seguro y ya no corre el riesgo de que alguien introduzca un disco malicioso en su máquina.

Si instaló la actualización y su máquina no arranca (otra buena razón para evitar instalar parches de inmediato , ¿eh?), Microsoft tiene detalles para restaurar su PC a la salud en el artículo de KB (que ahora menciona Win10 versión 1909) y en la página Estado de información de la versión de Windows . Las instrucciones le indican cómo desinstalar el parche. Para máquinas con el error "Restablecer esta PC", Microsoft también recomienda que siga la desinstalación con una ejecución de Restablecer esta PC. No tengo idea de por qué desinstalar el parche y ejecutar Reset restaura las máquinas a un estado de trabajo, pero aparentemente lo hace.

Si aún no ha instalado el parche, anímese. Microsoft presentará una solución adecuada en algún momento en el futuro. Como prometen tanto el artículo de KB como la página de información de la versión:

Estamos trabajando en una versión mejorada de esta actualización en coordinación con nuestros socios y la lanzaremos en una actualización futura.

Esperemos que la "versión mejorada" funcione mejor que la anterior, y que tarde menos de diez meses en responder al problema. Mientras tanto, ValdikSS advierte en un tweet :

Existen al menos 2 otros cargadores de arranque vuln, no revocados.

Por diversión.

Lo mejor que puedo decir es que Microsoft no ha publicado ningún detalle sobre este fiasco, aparte de retirar el parche, identificar los errores y prometer una solución. Seguridad, encuentro con la oscuridad.


Publicar un comentario

0 Comentarios