Inicio Noticias Detalles
Microsoft corrige una vulnerabilidad de firmware en Surface que podía inutilizar los dispositivos
2026-06-15 15:47
Favoritos

es.wedoany.com Noticia: El investigador de seguridad australiano Jack Darcy descubrió que los dispositivos Microsoft Surface presentan una vulnerabilidad de firmware que permite inutilizarlos mediante un solo paquete de datos, siempre que el usuario haya desactivado Secure Core y Secure Boot. El software de inteligencia artificial Copilot de Microsoft desempeñó un papel clave en este hallazgo.

Darcy explicó a los medios que su instancia de Microsoft Copilot activó accidentalmente la vulnerabilidad al intentar ajustar el brillo de la pantalla de un dispositivo Surface. El script de Python generado por Copilot terminó sobrescribiendo el firmware del controlador integrado, dejando el portátil inoperativo. Durante el proceso de sondeo de los valores de control de brillo, Copilot creó y ejecutó de forma autónoma cuatro scripts de Python progresivamente agresivos, que enviaron comandos SSAM ioctl sin procesar (SSAM_CDEV_REQUEST = 0xC028A501) al microcontrolador SAM a través de la ruta de software SAM. SAM o SSAM es el controlador integrado utilizado en los dispositivos Surface, y la implementación de Microsoft en este controlador carece de mecanismos de defensa contra valores de escritura arbitrarios.

Microsoft no considera que esta vulnerabilidad represente una amenaza real. Un portavoz indicó que explotar con éxito la vulnerabilidad requeriría que un atacante interactúe con un controlador específico y envíe comandos a la interfaz de hardware, además de necesitar privilegios de administrador y tener desactivada la función Secure Boot.

Darcy señaló que, normalmente, los dispositivos digitales requieren presionar un botón o conectar un puente para habilitar el acceso de escritura arbitraria, pero los dispositivos Surface carecen de esta verificación de seguridad, lo que permitió que Copilot dañara el firmware en ausencia de Secure Core y Secure Boot. El sondeo activó el comando de actualización SAM, sobrescribiendo el firmware UEFI y Secure Boot. Los dispositivos Surface afectados no podrán inicializarse al reiniciar y no podrán realizar la autocomprobación de encendido.

El script de Python escrito por Copilot en el dispositivo Surface de Darcy iteró ciegamente sobre pares específicos de Categoría de Destino (Target Category) e ID de Comando (CID), enviando cargas vacías al comando WRITE. Como resultado, SET Feature Report y Output Report fueron invocados con cargas vacías, otros CID fueron alcanzados por comandos SET que escribieron datos basura, y el dispositivo quedó inoperativo. Según se informa, los dispositivos que quedaron inoperativos debido al acceso a SAM quedaron permanentemente inutilizados, requiriendo el reemplazo de la placa base.

Darcy indicó que el diseño del bus SAM es defectuoso, con una peligrosa intercalación de CID. Las lecturas y escrituras se entremezclan en el mismo espacio de numeración, sin un rango seguro de sondeo; escanear dos CID consecutivos puede conllevar un 50% de riesgo de alcanzar un comando de escritura.

The Register consultó a Microsoft sobre este asunto el 10 de marzo de 2026. Un portavoz de la empresa sugirió a los investigadores que se pusieran en contacto con el Centro de Respuesta de Seguridad de Microsoft (MSRC). El 12 de marzo, con la ayuda de las relaciones públicas de Microsoft, Darcy mantuvo una conversación con Madeline Eckert, gerente sénior de proyectos del MSRC. Microsoft reconoció la vulnerabilidad y se comprometió a publicar una corrección. La mayoría de los dispositivos afectados ya se han actualizado o recibirán una actualización en las próximas semanas a través de Windows Update. Microsoft afirmó que el problema no cumple con los criterios para asignarle un CVE.

Los usuarios de Linux, aquellos que hayan desactivado Secure Core y Secure Boot para juegos en Windows, usuarios de controladores personalizados de Windows, o aquellos que hayan habilitado el arranque USB, podrían seguir siendo vulnerables si sus sistemas aún no han recibido la actualización. Según fuentes, todos los dispositivos Surface (Surface Laptops 3-6, Surface Book 1-3), excepto los modelos Surface Go, están afectados; las variantes ARM aún no se han probado.

Durante el proceso de parcheo, Microsoft planea migrar la pila de Surface a Rust. David Abzarian, arquitecto jefe de Surface en Microsoft, indicó que el hardware futuro de Surface for Business hará la transición a una arquitectura más segura basada en código Rust, que abarcará el controlador integrado, UEFI y algunos controladores. Microsoft está construyendo firmware de controlador integrado y el núcleo UEFI DXE en Rust a través de los proyectos Secure EC y Project Patina, y está ayudando a desarrollar el marco Windows Drivers in Rust (WDR).

Darcy comentó que la posibilidad de destruir irreversiblemente un dispositivo desde el espacio de usuario es una decisión de diseño interesante. Elogió la serie Surface de Microsoft, pero espera más innovación en la verificación de datos entrantes a nivel de firmware. Microsoft ofreció a Darcy un portátil Surface como muestra de agradecimiento.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com

Estados Unidos
Información y comunicaciónIngeniería de confidencialidad de información y seguridad de datos
Anterior:El Departamento de Estado de EE. UU. firma un acuerdo de dos años con Starlink de SpaceX para la respuesta a desastres
Posterior:Teleport de Estados Unidos recibe el premio al Sistema de Gestión de Identidades Más Innovador de las Estrellas de Ciberseguridad 2026
Productos relacionados
Solicitar
Terminal satelital portátil de placa plana de 0,35 m de diámetro (manual)
China Starwin Science & Technology co., Ltd.
Solicitar
SIS Soluciones de Instrumentación de Seguridad
Beijing Consen Automation Technology Co., Ltd.
Solicitar
Solución de prevención de fugas de datos en oficina
Sangfor Technologies Inc.
Solicitar
Sistema de monitoreo inteligente de cinta transportadora
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Solicitar
Software del servidor de aplicaciones Baolande V9.5
Beijing Baolande Software Corporation
Solicitar
Conmutador rápido de fuente de alimentación redundante QPS-20A
CHN ENERGY ZHISHEN CONTROL TECHNOLOGY CO., LTD.
Solicitar
Subarray Tx de antena de arreglo en fase banda Ka
COXSAT TECHNOLOGY CO., LTD.
Solicitar
Productos de sistemas de multiplexación por división de longitud de onda (WDM)
Shenzhen SDG Information Co., Ltd.
Solicitar
Xinshiqi Vehículo autónomo X3 con caja de carga
Neolix Beijing Technology Co., Ltd.
Solicitar
Red de área local inalámbrica | Punto de acceso AirEngine 5776-56T
Huawei
Solicitar
Lámina de silicona termoconductora ABT-CP815
Dongguan Aobote Thermal Technology Co., Ltd.
Solicitar
TWP16 Radar de perfil de viento troposférico en banda P
China Huayun Meteorological Technology Group Co., Ltd.
Recomendaciones
El Grupo Digital Zhongkan Beidou de China y Hikvision firman un acuerdo de cooperación en seguridad inteligente en la producción
2026-06-15
Weina Hexin acelera la industrialización de chips de memoria y computación tridimensionales integrados con una ronda de financiación Serie B de más de 10 000 millones de yuanes
2026-06-15
Daxiao Robotics completa una ronda de financiación Angel+ para impulsar el modelo mundial y la implementación de soluciones integradas de hardware y software
2026-06-15
Hexaware establece un centro de entrega en GIFT City, India
2026-06-15
Digital Realty amplía su capacidad en Cyberjaya, Malasia, con 32 megavatios adicionales
2026-06-15
GSMA: La industria móvil contribuyó con 1,15 billones de euros al PIB de la UE en 2025
2026-06-15
Junkies Coder de Sudáfrica lanza un negocio de IA agéntica
2026-06-15
Anthropic se disculpa por el filtro antidestilación oculto en Claude Fable 5
2026-06-15
Ethio Telecom planea expandir sus servicios de telemedicina a 200 hospitales
2026-06-15
Pakistán asigna 19,580 millones de rupias para 13 proyectos de TI y telecomunicaciones
2026-06-15
Últimos boletines
1
Blue Pearl acelera la actualización de Java en un 90% con IBM Bob
2
Alrededor del 35% de la Generación Z en Sudáfrica usa IA a diario: los jóvenes la aprovechan para expandir empleo y emprendimiento
3
Crisis de memoria en 2026 eleva un 25% el costo de los teléfonos de gama baja, amenazando la inclusión digital
4
Meta lanza herramienta de IA para agentes comerciales en EE. UU.
5
Los operadores de telecomunicaciones de Malasia alcanzan un 50 % de penetración 5G, pero el crecimiento de ingresos se estanca
6
La Universidad Nacional de Malasia colabora con BlackBerry para introducir el curso QNX, pionero en la ASEAN
7
Liberia recibe 125 millones de dólares del Banco Mundial para energía y conectividad digital
8
Se estima que los ingresos de las comunicaciones fijas en Filipinas alcancen los 4.300 millones de dólares en 2030
9
Orbbec de China inicia la construcción de una fábrica de 100.000 m² en Vietnam, con inicio de operaciones previsto para 2027
10
EE del Reino Unido permite la contratación en línea de banda ancha de 1.6 Gbps combinada con televisión de pago