AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Windows bloquea teclados y ratones USB en WinRE tras el último parche de seguridad

admin

## Introducción

El último ciclo de actualizaciones de seguridad de Microsoft ha introducido una problemática significativa para los entornos corporativos y de administración de sistemas: la inhabilitación de dispositivos de entrada USB, como ratones y teclados, dentro del Entorno de Recuperación de Windows (WinRE). Esta situación, confirmada oficialmente por Microsoft, afecta a múltiples versiones de Windows y supone un reto tanto para la continuidad operativa como para la gestión de incidentes críticos en infraestructuras empresariales.

## Contexto del Incidente

WinRE es una herramienta clave para la recuperación y reparación de sistemas Windows que han sufrido fallos críticos, infecciones de malware o corrupción de archivos. El acceso a través de WinRE es fundamental para tareas como la restauración de backups, la reparación del arranque o la ejecución de scripts de recuperación. Sin embargo, tras la instalación de las actualizaciones de junio de 2024, numerosos administradores y usuarios han reportado la imposibilidad de utilizar ratones y teclados USB en este entorno, haciendo inoperables muchas de sus funciones esenciales.

El problema ha sido reconocido por Microsoft en su documentación oficial, indicando que la actualización de seguridad afecta a la funcionalidad de los controladores USB en WinRE. Aunque los sistemas operativos afectados continúan funcionando correctamente una vez arrancados normalmente, cualquier intento de recuperación mediante WinRE queda bloqueado si no se dispone de dispositivos PS/2 o de acceso remoto.

## Detalles Técnicos

Las actualizaciones implicadas están relacionadas con los boletines de seguridad publicados el 11 de junio de 2024 y afectan principalmente a Windows 10 (versiones 21H2 y 22H2) y Windows 11 (todas las ediciones actuales). El problema se origina en cambios implementados en la gestión de controladores USB dentro del entorno WinRE, probablemente como respuesta a vulnerabilidades relacionadas con la ejecución de código arbitrario mediante dispositivos maliciosos conectados por USB.

Hasta la fecha, Microsoft no ha publicado un CVE específico asociado a este incidente, pero fuentes de threat intelligence sugieren que los controles reforzados en el stack USB de WinRE son una reacción a TTPs (Tactics, Techniques, and Procedures) catalogados en MITRE ATT&CK, concretamente en la técnica T1200 (Hardware Additions) y T1091 (Replication Through Removable Media), donde los atacantes podrían explotar dispositivos USB para introducir cargas maliciosas en sistemas en estado de recuperación.

Indicadores de compromiso (IoCs) son limitados debido a la naturaleza del cambio, pero se ha observado que tras aplicar el parche, los logs de WinRE muestran errores de inicialización de drivers HID (Human Interface Device) para dispositivos USB, impidiendo su reconocimiento.

## Impacto y Riesgos

El impacto principal reside en la imposibilidad de interactuar con WinRE a través de dispositivos USB, lo que afecta a más del 85% de las estaciones de trabajo y portátiles modernos, que ya no incluyen puertos PS/2 legacy. Esto complica enormemente la recuperación de sistemas en entornos empresariales, sobre todo en infraestructuras donde la administración remota no está habilitada o la automatización de scripts de recuperación depende de la intervención manual.

La situación puede derivar en tiempos de inactividad prolongados, aumento de los costes operativos y riesgo de pérdida de datos debido a la imposibilidad de ejecutar acciones de recuperación ante incidentes de ransomware, corrupción de disco o fallos de arranque. Además, en el contexto de cumplimiento normativo (GDPR, NIS2), la falta de acceso a herramientas de recuperación puede dificultar la respuesta a incidentes y la notificación en plazos legales.

## Medidas de Mitigación y Recomendaciones

Microsoft ha comunicado que está trabajando en una corrección, pero por el momento no existe una solución oficial. Las recomendaciones actuales para los equipos de IT incluyen:

– Mantener una copia de WinRE personalizada en medios externos, integrando drivers USB manualmente mediante el comando `DISM /Add-Driver`.
– Utilizar dispositivos de entrada PS/2 donde sea posible o habilitar la administración remota vía PowerShell/WinRM previa al incidente.
– Implementar soluciones de backup y recuperación que no dependan de la interacción manual en WinRE, como imágenes de disco automatizadas o herramientas de terceros basadas en red.
– Desplegar políticas de hardening adicionales para minimizar la necesidad de acceso a WinRE, incluyendo el uso de BitLocker con recuperación automatizada y la protección frente a ataques de bootkit/UEFI.

## Opinión de Expertos

Analistas de seguridad y administradores de sistemas coinciden en que la decisión de Microsoft, aunque motivada por la seguridad, genera un serio cuello de botella operativo. “El hardening de WinRE frente a amenazas USB era necesario, pero debería haberse acompañado de documentación, alternativas técnicas y un CVE específico”, destaca un CISO de una multinacional tecnológica. Otros profesionales, como pentesters y consultores de respuesta a incidentes, advierten del riesgo de que los equipos queden ‘bloqueados’ ante un incidente, especialmente en entornos con políticas BYOD o en empresas sin recursos para soluciones de administración remota avanzadas.

## Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la necesidad de revisar y actualizar los procedimientos de recuperación ante desastres. El bloqueo de USB en WinRE puede afectar a los SLA de recuperación y a la capacidad de cumplimiento regulatorio, además de incrementar la presión sobre los equipos de soporte y ciberseguridad. Para los usuarios avanzados y administradores, la incapacidad de acceder a herramientas fundamentales en WinRE obliga a replantear la estrategia de backup y la formación en el uso de métodos alternativos de recuperación.

## Conclusiones

La desactivación de dispositivos USB en WinRE a raíz de las actualizaciones de junio de 2024 representa un desafío importante para la gestión de incidentes y la resiliencia operativa en entornos Windows. Hasta que Microsoft publique una solución definitiva, se recomienda a los equipos técnicos implementar medidas de mitigación y revisar los procedimientos de recuperación para garantizar la continuidad del negocio ante futuros incidentes.

(Fuente: www.bleepingcomputer.com)