El ataque Windows Downdate socava completamente la seguridad de Windows; aún no hay una solución disponible

-
La seguridad de Windows 11 puede ser completamente socavada al corromper el proceso de Windows Update con una simple edición en el Registro de Windows, forzando una degradación a versiones más antiguas y vulnerables de Windows y otros procesos del sistema. Hasta el momento de escribir esto, no existe un parche que prevenga este ataque, aunque Microsoft ha ofrecido pasos que reducen el riesgo.


Alon Leviev, un investigador de seguridad en SafeBreach, una empresa con sede en Israel, demostró este método de ataque en la conferencia de seguridad Black Hat en Las Vegas la semana pasada. Utilizando una herramienta que escribió (pero que no hizo pública) llamada Windows Downdate, Leviev fue capaz de:

  • Retroceder Windows a versiones anteriores vulnerables con exploits conocidos.
  • Desactivar el proceso de virtualización de Secure Kernel de Windows que protege ciertos procesos de seguridad.
  • Robar nombres de usuario y contraseñas hash de todos los usuarios.
  • Desactivar el software de protección integrado de Windows Defender.
  • Retroceder el hipervisor Windows Hyper-V a una versión vulnerable.

En todos los casos, dijo Leviev, la herramienta de Windows Update informó que la máquina estaba completamente actualizada a pesar del sabotaje oculto.

"Fui capaz de hacer que una máquina Windows completamente parcheada fuera susceptible a miles de vulnerabilidades pasadas, convirtiendo vulnerabilidades solucionadas en días cero y haciendo que el término 'completamente parcheado' sea irrelevante en cualquier máquina Windows del mundo", escribió Leviev en una publicación en el blog de SafeBreach, publicada el 7 de agosto al comenzar su charla.

Los ataques de Windows Downdate requieren un usuario local con privilegios administrativos. Pero ese es un obstáculo bajo, ya que cada sistema Windows convierte a su primer usuario en administrador por defecto, y el malware que infecta una cuenta de usuario tendrá los mismos privilegios de sistema que el usuario.

Sin embargo, en su presentación en Black Hat (pero no en su blog), Leviev reveló un segundo ataque de degradación que involucra la carpeta temporal Windows.old creada después de una actualización del sistema. Ese ataque obliga a Windows a usar una versión maliciosa de la versión Windows.old durante el proceso de Restauración del Sistema y puede ser realizado por un usuario regular sin privilegios.

En coordinación con la presentación de Leviev, Microsoft emitió dos avisos de vulnerabilidad y exposición común para estos ataques: CVE-2024-21302 para el método Windows Downdate y CVE-2024-38202 para el método Windows.old.

Aún no hay parches disponibles para ninguno de los dos, pero Microsoft ha dado recomendaciones que "no mitigan la vulnerabilidad, pero pueden ser usadas para reducir el riesgo de explotación hasta que la actualización de seguridad esté disponible."

El 13 de agosto, después de que esta historia fuera publicada inicialmente, Microsoft emitió "una política de mitigación de revocación opcional" para un aspecto del ataque Windows Downdate, pero agregó que los propios pasos de mitigación creaban riesgo.

Inspirado por el malware BlackLotus

Leviev dijo que su interés en un ataque de degradación de Windows fue despertado por el bootkit BlackLotus de 2022, que retrocedía el proceso de arranque del sistema UEFI para usar una versión más antigua del Administrador de Arranque de Windows con vulnerabilidades conocidas.

Microsoft mitigó BlackLotus revocando los permisos de esas versiones más antiguas vulnerables y lanzando parches del sistema, pero Leviev se preguntó si podrían existir otros procesos de Windows vulnerables a ataques de degradación.

Eligió lo que pensó que podría ser el menos sospechoso de todos: Windows Update.

A través de prueba y error, Leviev dijo que descubrió que, aunque los componentes de Windows Update eran inexpugnables, la ruta de archivo en el Registro de Windows que apunta a las instrucciones, o "lista de acciones", que Windows Update debe seguir no lo era.

Con privilegios de administrador regulares, pudo editar el Registro para apuntar a una versión diferente y maliciosa de la lista de acciones, que a su vez apuntaba a un conjunto malicioso de archivos de actualización.

"Todas las verificaciones de integridad fueron eludidas, ya que se asume que la lista de acciones está verificada porque se crea después de la verificación", escribió Leviev en su blog. "Pude lograr una toma de control completa de Windows Update con un ataque de degradación".

El ataque sería invisible para el usuario porque Windows Update aún consideraría que la máquina está completamente parcheada, así como para el software de protección del endpoint, porque todo el comportamiento parecería legítimo.

Leviev descubrió que el ataque podría hacerse persistente modificando las instrucciones de actualización para instalar perpetuamente actualizaciones "vacías" que no hacían ningún cambio.

También podría hacerse irreversible porque, como escribió, la "utilidad de Verificación y Reparación de Integridad del Sistema SFC.exe no está firmada digitalmente y puede ser parcheada para que nunca detecte o repare corrupciones."

Salen los monstruos

Atacar Windows Update abre una Caja de Pandora de posibles ataques. Lo más significativo es que Leviev descubrió que podía reemplazar los ejecutables del Secure Kernel durante falsas actualizaciones de Windows y forzar a Windows 11 a arrancar sin las protecciones normales del sistema.

El Secure Kernel es un sistema paralelo de Windows que se ejecuta en una máquina virtual en Windows 11, protegiendo características de seguridad como el almacenamiento de contraseñas y el acceso a la memoria de un kernel regular del sistema potencialmente corrompido.

Esto resulta en lo que Microsoft llama "seguridad basada en virtualización" o VBS. Tanto la instancia regular de Windows como su sombra segura están controladas por un hipervisor que se ejecuta en un nivel supuestamente inaccesible.

El propio VBS está protegido contra manipulaciones por una característica llamada UEFI Lock. Los archivos de configuración de VBS no están en el Registro de Windows, sino en el propio proceso de arranque UEFI. Los archivos que ejecutan y gestionan VBS y el hipervisor están firmados digitalmente y no pueden ser manipulados.

Utilizando su herramienta Windows Downdate, Leviev reemplazó los ejecutables de VBS e hipervisor con versiones inválidas y no firmadas. Supuso que la máquina arrancaría en modo de recuperación cuando encontrara los archivos inválidos.

Pero para su sorpresa, Windows simplemente omitió el proceso de VBS y arrancó normalmente, sin que la virtualización estuviera en ejecución para proteger los procesos sensibles del sistema. Esto sucedió incluso con el bloqueo UEFI aún habilitado.

"Creo que [esto] es la primera omisión del bloqueo UEFI de VBS", escribió Leviev en su blog.

Al desactivar VBS, reemplazar características de seguridad con versiones más antiguas y conocidas por tener fallos de seguridad, y con algo de prueba y error adicional, Leviev fue capaz de "volcar" los nombres de usuario y las contraseñas hash.

Los hashes incluían hashes NTLM, que generalmente son fáciles de revertir a texto plano. También fue capaz de desactivar Windows Defender reemplazando el motor principal de Defender utilizando Windows Downdate.

Leviev descubrió que incluso el hipervisor era accesible mediante Windows Downdate. Pudo retroceder la versión del hipervisor a una que tenía dos años de antigüedad y probablemente tenía vulnerabilidades.

"No encontré ninguna mitigación de degradación en ningún componente de la pila de virtualización", escribió. "Toda la pila era vulnerable a las degradaciones".

"El ataque de degradación que pude lograr en la pila de virtualización dentro de Windows fue posible debido a un defecto de diseño que permitía que niveles/rings de confianza virtuales menos privilegiados actualizaran componentes que residen en niveles/rings de confianza virtuales más privilegiados", añadió.

"Esto fue muy sorprendente, dado que las características de VBS de Microsoft fueron anunciadas en 2015, lo que significa que la superficie de ataque de degradación que descubrí ha existido durante casi una década."

Una degradación del sistema que cualquiera puede hacer

Como se mencionó, los ataques anteriores requieren privilegios administrativos. Eso no fue el caso con el último ataque que Leviev reveló durante su presentación en Black Hat: incluso un usuario sin privilegios podía llevarlo a cabo.

Cuando Windows realiza una actualización importante del sistema, lo cual ocurre normalmente dos veces al año, la versión anterior de Windows se almacena en "C:\Windows.old" durante entre 10 días y un mes en caso de que haya un problema con la actualización. Si es así, el usuario puede retroceder a la versión anterior de Windows utilizando Restaurar Sistema.

Leviev descubrió que no era posible manipular el contenido de la carpeta Windows.old. Pero pudo renombrar la carpeta, incluso como un usuario sin privilegios, y luego crear una nueva carpeta Windows.old maliciosa.

Si la máquina luego realiza una Restauración del Sistema a la versión anterior de Windows, dijo, utilizará la versión maliciosa de Windows.old, resultando en una máquina controlada por el atacante.

Dada la vida útil limitada de Windows.old, este ataque podría ser de utilidad limitada, ya que Windows normalmente elimina la carpeta Windows.old entre 10 días y un mes después de una actualización exitosa.

Lecciones aprendidas

Obviamente, los hallazgos de Leviev tienen tremendas implicaciones para Windows 11, y para Windows 10 también, ya que usa muchos de los mismos mecanismos. Microsoft está trabajando en parches, pero Leviev dijo que ataques similares podrían ser posibles en Linux y macOS.

"Creemos que otros sistemas operativos pueden ser igualmente susceptibles a vectores de ataque similares y que todos los proveedores de sistemas operativos deben estar atentos a los peligros que presentan", escribió en su blog.

En Black Hat, Leviev lo expresó de manera más concisa: "Es necesario tener más conciencia de que los ataques de degradación de sistemas operativos son viables".

Recordando el malware BlackLotus que lo inspiró, añadió: "Necesitamos examinar y expandir exhaustivamente los ataques en la naturaleza".


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más