{"id":820419,"date":"2023-06-23T18:41:50","date_gmt":"2023-06-23T18:41:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nsa-publica-una-guia-para-combatir-el-poderoso-blacklotus-bootkit-dirigido-a-los-sistemas-windows\/"},"modified":"2023-06-23T18:41:53","modified_gmt":"2023-06-23T18:41:53","slug":"la-nsa-publica-una-guia-para-combatir-el-poderoso-blacklotus-bootkit-dirigido-a-los-sistemas-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nsa-publica-una-guia-para-combatir-el-poderoso-blacklotus-bootkit-dirigido-a-los-sistemas-windows\/","title":{"rendered":"La NSA publica una gu\u00eda para combatir el poderoso BlackLotus Bootkit dirigido a los sistemas Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Amenaza Intel\/Seguridad de punto final<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La Agencia de Seguridad Nacional de EE. UU. (NSA) public\u00f3 el jueves una gu\u00eda para ayudar a las organizaciones a detectar y prevenir infecciones de una interfaz de firmware extensible unificada (<a rel=\"nofollow noopener\" href=\"https:\/\/insights.sei.cmu.edu\/blog\/uefi-terra-firma-for-attackers\/\" target=\"_blank\">UEFI<\/a>) kit de arranque llamado <strong>Loto negro<\/strong>.<\/p>\n<p>Para ello, la agencia es <a rel=\"nofollow noopener\" href=\"https:\/\/www.nsa.gov\/Press-Room\/Press-Releases-Statements\/Press-Release-View\/Article\/3435305\/nsa-releases-guide-to-mitigate-blacklotus-threat\/\" target=\"_blank\">recomendando<\/a> que &#8220;los propietarios de la infraestructura act\u00faen fortaleciendo las pol\u00edticas ejecutables del usuario y monitoreando la integridad de la partici\u00f3n de arranque&#8221;.<\/p>\n<p>BlackLotus es una soluci\u00f3n avanzada de crimeware que Kaspersky present\u00f3 por primera vez en octubre de 2022.  Un kit de arranque UEFI capaz de eludir las protecciones de arranque seguro de Windows, desde entonces han surgido muestras del malware en la naturaleza.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Pandilla-china-PostalFurious-ataca-a-usuarios-de-EAU-con-esquema.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Esto se logra aprovechando una falla conocida de Windows llamada Baton Drop (<a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-21894\" target=\"_blank\">CVE-2022-21894<\/a>puntaje CVSS: 4.4) descubierto en vulnerable <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-gb\/topic\/microsoft-guidance-for-applying-secure-boot-dbx-update-kb4575994-e3b9e4cb-a330-b3ba-a602-15083965d9ca\" target=\"_blank\">cargadores de arranque<\/a> no agregado en el <a rel=\"nofollow noopener\" href=\"https:\/\/uefi.org\/revocationlistfile\" target=\"_blank\">Lista de revocaci\u00f3n de DBX de arranque seguro<\/a>.  Microsoft abord\u00f3 la vulnerabilidad en enero de 2022.<\/p>\n<p>Esta laguna podr\u00eda ser aprovechada por actores de amenazas para reemplazar cargadores de arranque completamente parcheados con versiones vulnerables y ejecutar BlackLotus en puntos finales comprometidos.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.virusbulletin.com\/virusbulletin\/2014\/11\/paper-bootkits-past-present-amp-future\" target=\"_blank\">kits de arranque UEFI<\/a> como BlackLotus otorgar un actor de amenazas <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/cybersecurity-101\/malware\/bootkit\/\" target=\"_blank\">control completo<\/a> sobre el sistema operativo <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2017\/10\/19\/malware-firmware-exploit-sense-security\/\" target=\"_blank\">procedimiento de arranque<\/a>lo que hace posible interferir con los mecanismos de seguridad y desplegar cargas \u00fatiles adicionales con privilegios elevados.<\/p>\n<p>Vale la pena se\u00f1alar que BlackLotus no es un <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2018\/09\/27\/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group\/\" target=\"_blank\">amenaza de firmware<\/a>, y en su lugar se enfoca en la etapa de software m\u00e1s temprana del proceso de arranque para lograr persistencia y evasi\u00f3n.  No hay evidencia de que el malware se dirija a los sistemas Linux.<\/p>\n<p>&#8220;Los bootkits UEFI pueden perder en sigilo en comparaci\u00f3n con los implantes de firmware [&#8230;] ya que los bootkits est\u00e1n ubicados en una partici\u00f3n de disco FAT32 de f\u00e1cil acceso&#8221;, dijo el investigador de ESET Martin Smol\u00e1r en un an\u00e1lisis de BlackLotus en marzo de 2023.<\/p>\n<p>&#8220;Sin embargo, ejecutarse como cargador de arranque les brinda casi las mismas capacidades que los implantes de firmware, pero sin tener que superar las defensas flash SPI multinivel, como los bits de protecci\u00f3n BWE, BLE y PRx, o las protecciones proporcionadas por hardware (como Intel Boot Guardia).<\/p>\n<p>Adem\u00e1s de aplicar las actualizaciones del martes de parches de mayo de 2023 de Microsoft, que solucion\u00f3 una segunda falla de omisi\u00f3n de arranque seguro (CVE-2023-24932, puntaje CVSS: 6.7) explotada por BlackLotus, se recomienda a las organizaciones que lleven a cabo los siguientes pasos de mitigaci\u00f3n:<\/p>\n<ul>\n<li>Actualizar medios de recuperaci\u00f3n<\/li>\n<li>Configure el software defensivo para examinar los cambios en la partici\u00f3n de arranque EFI<\/li>\n<li>Supervise las medidas de integridad del dispositivo y la configuraci\u00f3n de arranque en busca de cambios an\u00f3malos en la partici\u00f3n de arranque EFI<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/nsacyber\/Hardware-and-Firmware-Security-Guidance\/tree\/master\/secureboot\" target=\"_blank\">Personalizar arranque seguro UEFI<\/a> para bloquear cargadores de arranque de Windows m\u00e1s antiguos y firmados<\/li>\n<li>Elimine el certificado Microsoft Windows Production CA 2011 en dispositivos que arrancan Linux exclusivamente<\/li>\n<\/ul>\n<p>Microsoft, por su parte, est\u00e1 adoptando un enfoque por etapas para cerrar por completo el vector de ataque.  Se espera que las correcciones est\u00e9n disponibles de forma general en el primer trimestre de 2024.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/nsa-releases-guide-to-combat-powerful.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 de junio de 2023\ue804Ravie Lakshman\u00e1nAmenaza Intel\/Seguridad de punto final La Agencia de Seguridad Nacional de EE. UU.<\/p>\n","protected":false},"author":1,"featured_media":820420,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,149639,149640,7052,4664,4671,4662,6039,4668,4667,36,4654,4658,4659,4653,4655,108516,18,20616,4663,911,4666,4665,5527,158,4660,20385],"class_list":["post-820419","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-blacklotus","tag-bootkit","tag-combatir","tag-como-hackear","tag-dirigido","tag-filtracion-de-datos","tag-guia","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nsa","tag-para","tag-poderoso","tag-programa-malicioso-ransomware","tag-publica","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sistemas","tag-una","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/820419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=820419"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/820419\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/820420"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=820419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=820419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=820419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}