Transición del certificado de arranque seguro de Microsoft (CA 2023) y mitigación de BlackLotus

Getac se compromete a proporcionar una seguridad robusta para nuestras soluciones informáticas rugerizadas. Este aviso describe nuestra estrategia proactiva para la transición a la cadena de Autoridad de Certificación (CA) de Microsoft Secure Boot 2023, garantizando la integridad del sistema, el cumplimiento y la protección continua contra amenazas en evolución a nivel de arranque.

Importante:

Microsoft requiere completar la transición del certificado de arranque seguro de Microsoft (CA 2023) antes de junio de 2026. No completar esta transición no impedirá el arranque, pero no permitirá recibir actualizaciones de DBX, dejando el sistema vulnerable a binarios revocados en el futuro.

Además, tenga en cuenta que el software distribuido por Getac, con o sin la marca Getac (incluido, pero no limitado al software del sistema), no está cubierto por la garantía de Getac. Getac no se hace responsable de reclamaciones, daños, costos o gastos derivados del incumplimiento de las instrucciones relacionadas con la actualización de seguridad de Microsoft.

1. Antecedentes y causa raíz: CVE-2023-24932

La transición a la CA de Secure Boot 2023 es esencial para mantener la integridad del sistema a largo plazo. Impulsada por la expiración en junio de 2026 de la CA KEK de 2011 y la necesidad de mitigar la vulnerabilidad del bootkit UEFI BlackLotus (CVE-2023-24932), esta acción garantiza que los dispositivos sigan cumpliendo con los estándares de seguridad de Microsoft y conserven la capacidad de recibir actualizaciones de DBX después de 2026.

2. Planificación de Getac para el despliegue de la CA 2023

Getac está implementando los nuevos certificados CA 2023 en nuestra cartera de productos a través de dos fases: por defecto en el BIOS para nuevas plataformas y mediante Windows Update para dispositivos en el mercado.

Fase A: Nuevas plataformas con Windows 11 Pro (CA 2023 por defecto en el BIOS)

Los proyectos desarrollados en y después de las siguientes plataformas tendrán la CA 2023 integrada como configuración predeterminada en el BIOS de fábrica:

Fase B: Plataformas ya en el mercado con Windows 11 Pro (Windows Update)

Las plataformas anteriores que ya están en el mercado recibirán la actualización CA 2023 a través de los mecanismos estándar de Windows Update.

Base técnica: Aprovechando las directrices de Microsoft (Windows Secure Boot Key Creation and Management Guidance), los dispositivos ya en el mercado recibirán la nueva CA KEK 2023 a través de los mecanismos estándar de Windows Update para mantener las actualizaciones vitales de DB/DBX después de 2026.

3. Acciones requeridas y plataformas fuera de alcance

⚠️ Asesoramiento de seguridad y operativo

Aunque la mayoría de las plataformas están cubiertas, para garantizar la seguridad a largo plazo del sistema y la integridad del arranque: los sistemas que no completen la actualización del certificado a tiempo no podrán recibir actualizaciones de DBX después de 2026.

Recomendamos encarecidamente a los clientes que tomen las siguientes acciones:

• Actualizar el BIOS: Mantén el BIOS de tu plataforma actualizado a la última versión proporcionada por Getac.

• Habilitar Windows Update: Asegúrate de que Windows Update esté habilitado y funcionando para recibir las actualizaciones de certificados necesarias directamente de Microsoft.

• Evitar restablecer Secure Boot: Como precaución, evita restablecer el BIOS a la configuración predeterminada o deshabilitar Secure Boot.

• Gestionar, solucionar problemas y verificar: Verifica si la DB se ha actualizado correctamente a través del soporte de Microsoft: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support

Nota importante sobre plataformas Legacy y Windows 10

• Dispositivos con Windows 10: A medida que Windows 10 se acerca al final de su soporte, recomendamos encarecidamente actualizar a Windows 11 para garantizar una cobertura de seguridad continua.

• Plataformas fuera de alcance: Los dispositivos no cubiertos por el plan anterior deben migrar a Windows 11 o inscribirse en el nuevo programa ESU (Extended Security Updates) para consumidores para gestionar de forma autónoma el mantenimiento de la seguridad, ya que Windows 10 ha llegado oficialmente al final de su soporte.

Disclaimer:
Getac Disclaimer: All content and other information mentioned in this statement or offered arising from the issue described herein are provided on an "as is" basis. Getac hereby expressly disclaims any warranties of any kind, express or implied, including without limitation warranties of merchantability, fitness for any particular purpose, non-infringement of intellectual property. All products, information, and figures specified are preliminary based on current expectations, and Getac reserves the right to change or update any content thereof at any time without prior notice. Getac assessments have been estimated or simulated using Getac internal analysis or architecture simulation or modeling and may not represent the actual risk to the users' local installation and individual environment. Users are recommended to determine the applicability of this statement to their specified environments and take appropriate actions. The use of this statement, and all consequences of such use, is solely at the user's own responsibility, risk, and expense thereof. In no event shall Getac or any of its affiliates be liable for any and all claims, damages, costs or expenses, including without limitation, loss of profits, loss of data, loss of business expectancy, compensatory, direct, indirect, consequential, punitive, special, or incidental damages or business interruption arising out of or in connection with related to the information contained herein or actions that the user decides to take based thereon. Getac reserves the right to interpret this disclaimer and update this disclaimer whenever necessary.