4 de junio de 2023

Una actualización que tiene Windows 11 peligra tu PC

Una de las últimas actualizaciones de Windows Update en Windows 11 parece haber provocado un problema de seguridad, desactivando (e impidiendo reactivar) una de las opciones de protección de Windows Defender: la protección de Autoridad de Seguridad Local (LSA).

La Autoridad de Seguridad Local es una de las funciones críticas del subsistema de seguridad de Microsoft, responsabilizándose, por ejemplo, de verificar los cambios de contraseña y los intentos de inicio de sesión. Los ataques de robo de datos de inicio de sesión resultan, con este componente activado, mucho más complejos para los potenciales atacantes.

La información nos la ha hecho llegar un usuario que señala el repentino auge de este problema en los foros de soporte de Microsoft:

«Parece que el problema viene circulando desde finales de febrero y ahora está explotando a medida que se están lanzando más actualizaciones de Windows Update».

LSA es un mecanismo de protección de Windows que previene el acceso no autorizado a diversas partes del sistema por parte de potenciales atacantes

De hecho, los primeros casos recogidos datan incluso de antes, de mediados de enero (ejemplo). Aparentemente, según algunos de los usuarios afectados, la actualización responsable del problema sería la «Microsoft Defender Antivirus – KB5007651 (versión 1.0.2302.21002-0)».

Los usuarios se encuentran de repente con un icono amarillo de advertencia superpuesto al tradicional icono azul de Defender en la bandeja de sistema y, al consultar la razón de dicha advertencia, se encuentran con un mensaje advirtiendo que la protección LSA está desactivada y el dispositivo es ahora vulnerable.

No sirve de nada reactivar la opción pertinente en el panel de Seguridad de Windows, ni siquiera si, como nos pide Windows, reiniciamos a continuación. Como advierte un usuario afectado en los foros de soporte de Microsoft:

«Aun cuando activo la opción y reinicio, esta advertencia sigue estando ahí».

Uno de los moderadores voluntarios de los foros aporta una solución en cuatro pasos para el problema (que después ha sido respaldada por representantes de Microsoft en el mismo foro… y por usuarios agradecidos que han visto resuelto su problema):

  • Abre un archivo de texto del Bloc de Notas y copia y pega el siguiente texto:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"RunAsPPL"=dword:00000002

"RunAsPPLBoot"=dword:00000002

  • Guarda el archivo como ‘Enable LSA.reg’ (no como .txt).
  • Abre el archivo: eso introducirá automáticamente esos cambios en el Registro de Windows sin necesidad de que andemos manipulándolo en Regedit.
  • Reinicia el equipo.

El propio Cortés explica más tarde que «es posible» que Windows lance una actualización que corrija automáticamente el error, pero que eso «puede tardar». Mientras tanto, tenemos esta solución disponible.

Hemos contactado con Microsoft para conocer más detalles sobre posibles actualizaciones futuras. Ampliaremos el presente artículo cuando contemos con la respuesta de la compañía.