Fallo en Arranque de Windows tras actualizar Sophos Central Endpoint InterceptX

Descripción del Problema

Sistemas Operativos Windows sin parches instalados a fecha de marzo de 2019, Windows 7 o Windows Server 2008R2 pueden no arrancar tras la actualización del motor de SophosCentral Server Core Agent 2.7.6 / Central Windows Core Agent 2.7.6

Especial atención a plataformas Windows 7 y Windows 2008R2 que no tengan instalados los parches de seguridad y/o bien deshabilitadas las actualizaciones automáticas de Microsoft.

En el arranque del sistema se muestra un error, que dice que Microsoft no puede verificar la firma digital del driver de escaneado de Sophos

Error 0xc00004228 "cannot verify the digital signature"

Sistemas Afectados

Plataformas Afectadas:

  • Windows 7 SP1 (32/64 bits)
  • Windows Server 2008 R2

Si los sistemas operativos tienen activado Windows Update o actualizan sus parches a través de WSUS, no debería ocurrir el problema.

Se circunscribe únicamente a los equipos que no tienen los parches publicados por Microsoft a fecha de 12 de marzo de 2019

Cómo saber si el sistema tiene los parches instalados: Mediante los comandos que citamos a continuación. Si aparecen es que están instalados. Si tras su ejecución no vemos nada, es que no están instalados.

wmic qfe get hotfixid | find "KB4474419"
wmic qfe get hotfixid | find "KB4490628"
Ésta sería la salida de los comandos cuando están instalados

Solución al problema

Si es posible activar las actualizaciones automáticas (Windows Update) y asegurarse de que los equipos quedan al día de parches.

Si no es posible por la razón que fuere, hay que instalar manualmente las actualizaciones de Microsoft Windows KB 4474419 y  4490628.

Si no funcionaran los enlaces de Microsoft puedes probar a descargarlos de aquí: kb4474419. y kb4490628 para ambas plataformas: W7 y W2008R2

Workaround

Si el sistema no se iniciara debido a este problema hay una solución para que arranque: Y es pulsar F8 durante justo al principio del arranque inicial del sistema operativo. Esto mostrará un menú en el que podemos elegir que Windows se inicie deshabilitando la firma de controladores (o drivers). De esta manera ya sería posible entrar en el equipo e instalar los parches requeridos, tal como se puede ver a continuación.

Resumen Técnico del Problema

Microsoft Windows verifica en el arranque la firma digital de los drivers o controladores de dispositivos que carga Windows al iniciarse. Dicha firma digital consiste en aplicar una función matemática concreta al contenido del archivo que carga, y verificar que el resultado es correcto.

Para verificar dicho cálculo se usan diferentes algoritmos con mayor o menor fortaleza. Históricamente Microsoft ha venido usando un algoritmo llamado SHA1 para esta verificación. En Marzo de 2019 Microsoft decide dar soporte al algoritmo SHA-2, que aporta un nivel de seguridad superior.

Sophos ha venido firmando los controladores con ambos algoritmos (SHA-1 y SHA-2) hasta esta reciente actualización del Sophos Core Agent 2.7.6 en la cual ha pasado a soportar únicamente el algoritmo SHA-2 por motivos de seguridad, ya que existen métodos de ataque conocidos para vulnerar la firma SHA-1.

Si el sistema operativo no tiene instalado el parche que permite a Windows usar este algoritmo SHA-2, éste será incapaz de verificar el controlador al arrancar el sistema y dará fallo.

A continuación adjuntamos información detallada al respecto:

https://support.microsoft.com/es-es/help/4474419/sha-2-code-signing-support-update

https://community.sophos.com/kb/en-us/135504

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.