Una vulnerabilidad crítica en Windows Boot Manager, conocida como BitPixie, permite a los atacantes omitir el cifrado de accionamiento de BitLocker y aumentar los privilegios locales en los sistemas de Windows.
La vulnerabilidad afecta a los gerentes de arranque de 2005 a 2022 y aún puede explotarse en sistemas actualizados a través de ataques de rebajas, lo que plantea riesgos significativos para la seguridad empresarial.
Control de llave
1. Bitpixie permite que los atacantes eviten BitLocker y intensifican los privilegios.
2. El acceso de administrador es posible si se conoce un pin de bitlocker.
3. Patch KB5025885 es necesario mitigar.
La vulnerabilidad de BitPixie proviene de una falla en la función de reinicio suave PXE (entorno de ejecución de preboot) del Administrador de arranque de Windows, donde la tecla maestra de volumen BitLocker (VMK) no se borra correctamente desde la memoria durante el proceso de arranque.
Esta vulnerabilidad está vinculada a CVE-2023-21563, que afecta el manejo del administrador de arranque de las operaciones de arranque de red.
Explotar la vulnerabilidad de BitPixie Windows Boot Manager
Syss Tech detalla que El proceso de explotación implica un ataque sofisticado en dos etapas que se dirige a los mecanismos de configuración de botas y extracción de memoria.
Los atacantes primero crean un archivo de datos de configuración de arranque malicioso (BCD) que especifica un proceso de arranque de recuperación desde su servidor TFTP controlado.
Este archivo BCD modificado redirige la secuencia de arranque normal para activar un reinicio suave PXE, que carga un entorno Linux controlado por el atacante mientras preserva el VMK en la memoria del sistema.
El ataque aprovecha el módulo de plataforma de confianza (TPM) y los registros de configuración de la plataforma (PCR) utilizados en el proceso de arranque medido por Windows.
Durante el funcionamiento normal, BitLocker se basa en los registros de PCR 7 y 11 para validar la integridad del arranque antes de desacelerar el VMK del TPM.
Sin embargo, la vulnerabilidad de BitPixie permite a los atacantes eludir esta protección al explotar la persistencia de la memoria durante las operaciones de reinicio suave PXE.
Para extraer el VMK de la memoria, los atacantes escanean el patrón de byte específico -fve-FS- (hex: 2d 46 56 45 2d 46 53 2d) que marca el comienzo del área de metadatos de bitlocker.
El VMK en sí se identifica por la firma de bytes 03 20 01 00 seguido de la clave de cifrado de 32 bytes. Una vez extraída, esta clave se puede usar para desbloquear toda la partición cifrada de bitlocker, otorgando acceso administrativo al sistema.
Incluso los sistemas protegidos con la autenticación previa al botón de bitlocker (PBA) y los requisitos de PIN siguen siendo vulnerables a los ataques de escalada de privilegios.
La investigación demuestra que los expertos maliciosos con conocimiento del PIN de BitLocker pueden explotar Bitpixie para obtener privilegios administrativos locales en sus sistemas asignados.
Requisitos previos de bitpixie
El ataque tiene éxito porque la validación de PIN ocurre antes del manejo de memoria vulnerable, lo que permite extraer el VMK incluso de los sistemas protegidos por PIN.
Los atacantes pueden modificar los archivos de registro de Windows, como la base de datos de Security Cuenta Manager (SAM), para agregar cuentas de usuario de bajo privilegio al grupo de administradores.
Esta técnica permite el movimiento lateral y el acceso persistente dentro de los entornos corporativos.
Escalada de privilegios
La vulnerabilidad afecta a múltiples tipos de protección VMK, con diferentes firmas de bytes observadas para varias configuraciones:
Protección estándar de TPM: 03 20 01 00 TPM con protección de pin: 03 20 11 00 o 03 20 05 00 Protección de contraseña de recuperación: 03 20 08 00
Mitigaciones
Microsoft ha lanzado KB5025885 como la mitigación principal para BitPixie y las vulnerabilidades relacionadas de Boot Manager.
Esta actualización reemplaza el certificado Vulnerable Microsoft Windows Production PCA 2011 con el nuevo certificado de Windows UEFI CA 2023, evitando los ataques de rebaja a los gerentes de arranque vulnerables.
El parche agrega nuevas autoridades de certificado a la base de datos de arranque segura de UEFI y revoca el certificado de 2011 agregándolo a la base de datos de firmas excluidas (DBX).
Las organizaciones deben implementar estrategias de defensa integrales, incluida la PBA obligatoria de BitLocker con pines fuertes, configuraciones de validación de PCR actualizadas y segmentación de red para evitar ataques de arranque PXE.
La actualización del certificado de Microsoft se vuelve obligatoria en 2026 cuando expiran los certificados actuales, lo que hace que la implementación temprana sea crítica para identificar problemas de compatibilidad antes de la transición forzada.
Los equipos de seguridad deben monitorear los intentos de arranque PXE no autorizados, implementar controles de seguridad física para las estaciones de trabajo y garantizar que las claves de recuperación de BitLocker se administren de forma segura a través de sistemas de administración de claves empresariales.
La vulnerabilidad demuestra la importancia de los controles de seguridad basados en hardware y la evolución continua de las técnicas de ataque a nivel de arranque dirigidos a implementaciones modernas de cifrado.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
