Declaración de Getac Technology Corporation sobre la actualización de seguridad para Microsoft

(actualización KB5025885 de Windows para cambios en el arranque seguro asociados con CVE-2023-24932)

Actualización: 31/10/23

Importancia:

Tenga en cuenta que este comunicado es para informarle sobre una actualización de seguridad crítica emitida por Microsoft. Se recomienda a los usuarios que revisen la guía y tomen las medidas recomendadas por Microsoft y las que se indican más abajo, las cuales pueden actualizarse cada cierto tiempo para activar las protecciones frente a la omisión del arranque seguro y para evitar posibles riesgos de seguridad y fallas en el sistema. Asimismo, tenga en cuenta que Microsoft anunció que los pasos recomendados deben completarse antes de pasar a la fase final de aplicación, que está programada como muy pronto para el 9 de julio de 2024. Los medios de arranque pueden fallar y hacer que sus dispositivos Getac no puedan arrancar después de la fase final de aplicación de Microsoft si los pasos requeridos no se completan en orden. Además, recuerde que el software distribuido por Getac con o sin la marca de Getac (incluido, entre otros, el software del sistema) no está cubierto por la Garantía de Getac. Getac no se hace responsable de ningún reclamo, daño, coste o gasto por no seguir las instrucciones relacionadas con la actualización de seguridad de Microsoft.

Antecedentes

Como la función de seguridad para el arranque seguro se ha omitido en el bootkit de la Interfaz de Firmware Extensible Unificada (UEFI) de BlackLotus, el cual se rastrea mediante CVE-2023-24932, Microsoft decidió tomar medidas y publicó KB5025885 y actualizaciones de seguridad el 9 de mayo de 2023, con el fin de administrar las revocaciones del administrador de arranque de Windows.

Las actualizaciones de seguridad de Microsoft se dividen en cuatro fases¹, siendo la fase final la de aplicación. La fase final de aplicación implementará mitigaciones permanentes el 9 de julio de 2024.


Riesgo e impacto

  • La vulnerabilidad del bootkit UEFI de BlackLotus permite a los atacantes mantener el control sobre el dispositivo y potencialmente manipularlo. Se recomienda encarecidamente a todos los clientes que apliquen las actualizaciones de seguridad de Windows publicadas el 9 de mayo de 2023 (primera protección) y el 9 de enero de 2024 (segunda protección) para implementar las mitigaciones de seguridad necesarias.
  • Las revocaciones se aplicarán mediante programación el 9 de julio de 2024.¹ Por lo tanto, si un dispositivo reemplaza su disco duro guardado con el anterior administrador de arranque, no podrá arrancar después de la fecha de aplicación.


Instrucciones detalladas de Microsoft

Consulte el anuncio de Microsoft sobre la última actualización de seguridad de CVE-2023-24932.

KB5025885: Cómo administrar las revocaciones de la Administración de arranque de Windows para cambios en el arranque seguro asociados con CVE-2023-24932 – Soporte de Microsoft


Acciones para los usuarios de Getac

Se sugiere que todos los medios de arranque se actualicen a la última versión y con el nuevo administrador de arranque. Getac sugiere a sus clientes que sigan las acciones que se indican más abajo según sea el caso. Getac lanzará imágenes de recuperación de arranque (creadas con Getac Recovery Media Utility, “GRMU”²) y herramientas para actualizar el administrador de arranque en la partición de recuperación.

  • Las imágenes para los nuevos envíos con las últimas actualizaciones de seguridad³ y el administrador de arranque se lanzarán conforme a lo indicado en la Tabla A. Para los nuevos envíos a partir del 9 de enero de 2024, la actualización de seguridad estará lista después del lanzamiento de Microsoft. Getac anunciará el estado del calendario de imágenes después de su lanzamiento. Para obtener una lista detallada, consulte la Tabla A: <Fecha de implementación de HDI actualizado>.
  • Para los clientes actuales que utilizan dispositivos Getac (enviados antes del 31 de julio de 2023)
    Asegúrese de que el departamento de sistema de información gerencial (SIG) conozca la información que se describe más abajo y confirme que el antiguo administrador de arranque ha sido eliminado o actualizado. Esto es crucial para evitar cualquier problema con el arranque después de la fase de aplicación de Microsoft el 9 de julio de 2024.
      • Proceda con la actualización de Windows para instalar la última versión de las actualizaciones de Windows y consulte con el departamento SIG para tomar medidas de mitigación detalladas. Asegúrese de implementar todas las actualizaciones publicadas por Microsoft. Actualmente, existen dos versiones de actualización anunciadas (versiones del 9 de mayo de 2023 y del 9 de enero de 2024).
      • Partición de recuperación: actualice el administrador de arranque en la partición de recuperación utilizando la herramienta de parche para partición de recuperación de Getac (Getac Recovery Partition Patch Tool) disponible en el portal de servicios de Getac. Antes de utilizar la Getac Recovery Partition Patch Tool, asegúrese de haber completado la actualización de seguridad de Microsoft con una versión publicada después del 9 de mayo. Este paso es crucial para permitir el correcto funcionamiento del administrador de arranque dentro de la partición de recuperación. Si el cliente decide HABILITAR las revocaciones⁹, repita este paso cada vez que implemente la actualización de Microsoft para asegurarse de que la partición de recuperación contiene el cargador de arranque más reciente.
  • Si la recuperación del sistema se realiza mediante imagen de recuperación o sustitución del disco duro luego de la aplicación de las revocaciones:
    Asegúrese de utilizar las siguientes imágenes de recuperación para la recuperación del sistema6.
      • Con GRMU8:
        Descargue la última imagen de Windows7 con actualización de seguridad a través de GRMU² en https://support.getac.com/Service/FileReader/Index?fileid=109165&cateid=100038 para generar medios de recuperación y realizar la recuperación del sistema4. Lista de modelos compatibles en la Tabla A: <Fecha de implementación de la imagen actualizada>. Se requieren las versiones del 9 de mayo de 2023 y del 9 de enero de 2024 para garantizar la seguridad. Para los proyectos de personalización que no se mencionen en la lista, comuníquese con su administrador de cuenta e ingeniero de aplicaciones de campo.
Tabla A: <Fecha de implementación de la imagen actualizada>
Modelos
(incluidas las variantes de producto -EX, -IP)
Versión del sistema operativo compatibleNuevo envío con fecha de implementación de la actualización de seguridad*
(versión del 9 de mayo de 2023)
Fecha de lanzamiento de la imagen de recuperación actualizada
(versión del 9 de mayo de 2023
Fecha de lanzamiento de la imagen de recuperación actualizada
(versión del 9 de enero de 2024)
X500G3, T800G2Windows 10 (22H2)
Windows 10 IoT (21H2)
2023-07-312023-10-17Por definir
UX10G2/G2-R, V110G6, B360G1Windows 10 (22H2)
Windows 11 (22H2)
2023-07-312023-10-17Por definir
F110G6, K120G2/G2-R, S410G4, A140G2, X600, UX10G3, B360G2, V110G7Windows 10 (22H2)2023-07-312023-10-17Por definir
Windows 11 (22H2)2023-10-192023-10-17Por definir
X600 ServerServer 20222023-07-31N/A**N/A

*Para los proyectos de personalización, los envíos posteriores al 31-10-2023 se realizarán con la actualización de seguridad de Microsoft del 9 de mayo. Consulte con Software Assurance para conocer más detalles.

**X600 Server no es compatible con GRMU. Consulte con el equipo de servicio o ventas para conocer más detalles.

Preguntas frecuentes

A partir del 9 de julio de 2024, Microsoft aplicará la revocación mediante una actualización. El antiguo administrador de arranque se añadirá a la base de datos de firmas no permitidas. Si un dispositivo se encuentra en alguno de los siguientes escenarios que implican el uso del antiguo administrador de arranque, fallará al arrancar después del 9 de julio de 2024

  • El usuario intercambia su HDD y arranca usando un SO que no ha aplicado la actualización KB publicada el 9 de mayo de 2023.
  • El usuario utiliza la imagen original de GRMU para el arranque desde USB.
  • El usuario arranca con el WinPE original utilizando una unidad USB.
  • El dispositivo efectúa un arranque PXE con el sistema operativo original.
  • Si la partición de recuperación no tiene el administrador de arranque actualizado o contiene un administrador de arranque antiguo.

Después de aplicar la actualización de Microsoft del 9 de mayo, los usuarios pueden seguir las instrucciones de Microsoft para revocar voluntariamente el antiguo administrador de arranque antes de tiempo, el cual se revocará el 9 de julio de 2024, según lo previsto por Microsoft.

  • Administrador de arranque: si el usuario selecciona el antiguo administrador de arranque para arrancar, una pantalla negra parpadeará y volverá al administrador de arranque.
  • Partición de recuperación: el sistema se detendrá al inicio de la partición de recuperación.
  • Arranque del sistema: el sistema omitirá este dispositivo de arranque con el antiguo administrador de arranque y arrancará el siguiente dispositivo de arranque.

Si se produce alguno de los escenarios anteriores y no puede arrancar el dispositivo, vea la siguiente pregunta para encontrar una solución.

Desactive el arranque seguro en la configuración de BIOS, implemente la última actualización de Windows y después active el arranque seguro.

Sí, se incluirá la versión LTSC mientras siga dentro del ciclo de vida de Microsoft. La versión IoT posterior a Win10 21H2 también recibirá soporte. Compruebe con Microsoft el estado detallado del soporte5.

MSFT enviará las actualizaciones acumuladas apenas se active el Wi-Fi o las actualizaciones de Windows. El dispositivo se actualizará a una versión con actualizaciones de seguridad. Sin embargo, Getac sugiere encarecidamente implementar la última versión con actualizaciones de seguridad.

Sí, se requieren ambas protecciones para garantizar la seguridad. Antes de la fase final de aplicación el 9 de julio de 2024, asegúrese de verificar que sus dispositivos y todos los medios con arranque (incluidos los medios sin conexión) estén actualizados y listos para este cambio para reforzar de seguridad.

1 Para más detalles sobre las revocaciones y el calendario de actualizaciones, consulte las instrucciones de Microsoft.
2 La imagen GRMU de determinados modelos de Getac se actualizará para incorporar la actualización del 9 de mayo de Microsoft.
3 La actualización de seguridad de Microsoft relativa a CVE-2023-24932 solo es compatible con versiones posteriores a Windows 10 21H2.
4 Después de la recuperación con las imágenes de recuperación anteriores, se eliminará la partición de recuperación.
5 La información sobre el soporte para versiones está sujeta a cambios por parte de Microsoft. Para obtener la información más actualizada, comuníquese directamente con Microsoft. Microsoft se reserva el derecho a realizar cambios, los cuales no están relacionados con Getac.
6 Una vez que las nuevas imágenes GRMU con el administrador de arranque actualizado estén disponibles para su descarga, las imágenes GRMU antiguas ya no estarán disponibles. Se reemplazarán con las nuevas imágenes que contienen el administrador de arranque actualizado.
7 La base de conocimiento (Knowledge Base - KB) de Microsoft solo proporciona actualizaciones de seguridad para versiones de Windows 10 posteriores a 21H2. Sin embargo, el soporte de recuperación original se envía con la misma versión que al momento del pedido. Por lo tanto, si las actualizaciones de seguridad de Microsoft no son compatibles con la versión actual, Getac ofrecerá la última versión compatible con las actualizaciones, Windows 10 22H2.
8 Si ha pasado de la versión Windows 11 Pro a la versión Windows 10 Pro mediante una licencia por volumen de Microsoft, comuníquese con Microsoft para recibir asistencia de recuperación y más información.
9 Consulte la página de seguridad de Microsoft para obtener información sobre la revocación voluntaria.


Aviso legal de Getac: Todo el contenido y cualquier otra información mencionada en la presente declaración u ofrecida como resultado del asunto que se describe en el presente se proporciona “tal cual”. Por medio del presente, Getac rechaza expresamente toda garantía de cualquier tipo, expresa o implícita, incluidas, entre otras, las garantías de comerciabilidad, de idoneidad para un propósito concreto y de no infracción de la propiedad intelectual. Todos los productos, información y cifras especificados son preliminares y se basan en las expectativas actuales; Getac se reserva el derecho de cambiar o actualizar cualquier contenido de los mismos en cualquier momento sin previo aviso. Las evaluaciones de Getac se han calculado o simulado utilizando análisis internos de Getac o simulación o modelado de arquitectura, y podrían no representar el riesgo real para la instalación local y el entorno individual de los usuarios. Se recomienda a los usuarios que determinen cuán oportuna sea la aplicación de la presente declaración a sus entornos específicos y tomen las medidas correspondientes. El uso de esta declaración, y todas las consecuencias de dicho uso, será bajo responsabilidad, riesgo y expensas del usuario. En ningún caso Getac o cualquiera de sus filiales será responsable de ningún reclamo, daño, coste o gasto, incluidos, entre otros, pérdidas de beneficios, pérdidas de datos, pérdidas de expectativas de negocio, daños compensatorios, directos, indirectos, consecuenciales, punitivos, especiales o incidentales o interrupción de negocio que surjan de o en conexión con la información contenida en la presente o las acciones que el usuario decida tomar basándose en ella. Getac se reserva el derecho a interpretar este aviso legal y a actualizarlo siempre que sea necesario.

¿Tiene alguna pregunta? Contáctenos

contact-us-new-icon Contáctenos