Tres vulnerabilidades de Windows que quizás no valga la pena parchear

Cada vez es más difícil mantener una red segura frente a ataques, ya sean basados en la nube, híbridos o locales. Los ciberdelincuentes están empleando una gran variedad de métodos, desde ingeniería social hasta ataques a dispositivos periféricos. Se insta a los equipos de seguridad a tomar medidas para proteger las redes utilizando técnicas que van desde la gestión de parches hasta la implementación de Zero Trust. Pero incluso organizaciones tan grandes como las agencias gubernamentales de Estados Unidos y la propia Microsoft están demostrando ser vulnerables a los ciberincidentes.

Cada mes hay una cantidad mayor de vulnerabilidades que administrar mientras realizamos actualizaciones críticas, como eliminar NTLM de las redes e implementar integraciones de Oauth y monitorizar y bloquear ataques. En medio de todo esto, estamos reparando vulnerabilidades que pueden ser un verdadero riesgo para las empresas. Es hora de reducir el ritmo y considerar realmente si algunos de estos representan riesgos en los que debemos esforzarnos.

Aquí hay tres ejemplos de vulnerabilidades que requieren tiempo, evaluación y recursos por parte de los equipos de seguridad y, sin embargo, pueden no proporcionar mucha protección real; de hecho, pueden dar más riesgos al hacer que las máquinas no se puedan arrancar.

Arranque seguro y KB5025885

El arranque seguro fue promocionado como "un estándar de seguridad desarrollado por miembros de la industria de las PC para ayudar a garantizar que un dispositivo arranque utilizando únicamente software en el que confía el fabricante del equipo original (OEM)". Es posible que las políticas de administración de dispositivos de su organización requieran que las habilite en su dispositivo Windows registrado.

Es posible que los dispositivos que no cumplan con este requisito no puedan acceder a recursos laborales o escolares. En las empresas, a menudo se compran ordenadores y portátiles que tienen Windows 11 precargado. Como resultado, estos sistemas vienen con arranque seguro habilitado y un chip TPM.

Además, muchos de ustedes tienen la obligación de implementar Bitlocker para proporcionar cifrado de disco. Si bien Bitlocker no brinda protección ni cifrado de datos mientras el sistema informático está en ejecución, sí brinda protección para los datos en reposo y, a menudo, lo exigen las pólizas y los mandatos de seguros cibernéticos.

Sin embargo, administrar y mantener el arranque seguro se está convirtiendo en un dolor de cabeza y en un proyecto casi de tiempo completo. Por ejemplo, hay una gran cantidad de pasos que un equipo de parches debe seguir para parchear y proteger de forma proactiva del kit de arranque BlackLotus (KB5025885 detalla el proceso).

Primero, debe instalar actualizaciones de seguridad en las máquinas Windows compatibles que se incluyen en las actualizaciones de seguridad publicadas después del 9 de abril de 2024 (y posteriores). Luego, debe asegurarse de que las máquinas tengan el firmware actualizado antes de realizar las siguientes acciones. No instalar las actualizaciones de firmware puede hacer que las máquinas, desde computadoras portátiles hasta servidores y máquinas virtuales, no arranquen, lo que genera una carga de trabajo adicional para su personal de seguridad.

Primero deberá asegurarse de que los medios de recuperación estén actualizados con medios reparados o parcheados porque si necesita reiniciar o recuperar la máquina, necesitará medios que coincidan con el sistema que está intentando recuperar. Microsoft señala que en este momento no han probado todas las interacciones con las mitigaciones con las configuraciones del proveedor. Como se indica en la base de conocimiento: “Primero pruebe estas mitigaciones en un solo dispositivo por clase de dispositivo en su entorno para detectar posibles problemas de firmware. No realice una implementación amplia antes de confirmar que se hayan evaluado todas las clases de dispositivos en su entorno”.

En mi propia empresa, donde tengo máquinas con HP Sure start implementadas, Microsoft señala que “estos dispositivos necesitan las últimas actualizaciones de firmware de HP para instalar las mitigaciones. Las mitigaciones están bloqueadas hasta que se actualice el firmware”.

¿Su empresa está preparada para saber qué nivel de BIOS tiene cada computadora y qué nivel de versión tiene? A continuación, debe saber dónde se encuentra la clave de recuperación de Bitlocker. Como se indica en la base de conocimiento, "Algunos dispositivos pueden entrar en recuperación de BitLocker". Por lo tanto, asegúrese de tener un proceso para buscar y proporcionar claves de recuperación cuando sea necesario.

A continuación, hará que sus equipos de gestión de seguridad realicen los siguientes pasos. A medida que lea la guía proporcionada por Microsoft, observará cuántas veces será necesario reiniciar las máquinas (a veces dos veces seguidas) antes de continuar con el siguiente paso. En este momento es necesario estar probando y determinando un proceso eficiente. Si usa el administrador de configuración, le recomendaré revisar los recursos para ayudarlo en el proceso.

Este no es un proceso que se pueda realizar de forma remota de manera que proporcione a sus equipos la retroalimentación necesaria para garantizar que se lleve a cabo correctamente. Predigo que es posible que desee realizar estas acciones de manera gradual solicitando que los dispositivos se cambien con el tiempo.

El resultado final: revise su hardware y las especificaciones de su proveedor. Puede decidir realizar estos pasos a medida que cambia el hardware.

Cambios en la autenticación basada en certificados en controladores de dominio

En febrero de 2025, o más tarde, si Microsoft decide que no estamos listos para el cambio, Microsoft pondrá el modo de aplicación total en su endurecimiento de la autenticación basada en certificados (detallado en KB5014754). Una vez habilitado el modo de cumplimiento total, a menos que un certificado esté fuertemente asignado, se denegará la autenticación.

En este momento, querrás monitorear los registros de auditoría en tus controladores de dominio. Busque el evento 39 que indicará problemas.

Por ejemplo, el error puede decir "El Centro de distribución de claves (KDC) encontró un certificado de usuario que era válido pero que no se pudo asignar a un usuario de manera segura (por ejemplo, mediante una asignación explícita, una asignación de confianza de clave o un SID). Dichos certificados deben reemplazarse o asignarse directamente al usuario mediante una asignación explícita. Consulte https://go.microsoft.com/fwlink/?linkid=2189925 para obtener más información”.

Actualización del entorno de recuperación de Windows para Windows 10

En enero de 2024, Microsoft lanzó KB5034441, que aplica automáticamente la Actualización dinámica del sistema operativo seguro (KB5034232) al entorno de recuperación de Windows (WinRE) para Windows 10, versión 21H2 y 22H2 en una PC en ejecución para abordar una vulnerabilidad de seguridad que podría permitir a los atacantes eludir Cifrado de BitLocker mediante WinRE.

Sin embargo, en computadoras con una partición de recuperación más pequeña, muchas de ellas no pudieron instalar la actualización. Para instalar correctamente el parche, era necesario aumentar manualmente el tamaño de la partición mediante el uso de herramientas de terceros o secuencias de comandos.

Es necesario analizar estas tres vulnerabilidades para ver si realmente siente que está en riesgo. Todos ellos introducen riesgos simplemente siguiendo los pasos recomendados para su implementación.

¿Su escáner de vulnerabilidades los marcará como que necesitan acción? ¿Esto consumirá recursos y horas para parchear algo que en realidad puede tener un mayor impacto en su postura de seguridad? Mi conjetura es que la respuesta es sí, para muchas organizaciones. Determinar lo que necesita ser parcheado versus lo que sus escáneres de vulnerabilidades le dicen que necesita ser parcheado a menudo le impedirá proteger lo que necesita.