28 oct 2024

Omisión de firma de controladores de Windows permite downgrade e instalación de rootkits en el kernel

El investigador de seguridad de SafeBreach, Alon Leviev, informó sobre un problema de downgrade en la descarga de actualizaciones de Microsoft. Leviev demostró que el ataque en las conferencias de seguridad BlackHat y DEFCON de este año y, aunque como administrador, es posible realizar ejecución del código a nivel de kernel, la empresa inicialmente desestimó el problema diciendo que no cruzaba un límite de seguridad definido, .

El investigador publicó una herramienta llamada Windows Downdate en septiembre, que permite crear degradaciones personalizadas y expone un sistema de destino completamente actualizado a vulnerabilidades ya solucionadas a través de componentes obsoletos, como DLL, controladores y el kernel NT.

"Pude hacer que una máquina con Windows completamente parcheada fuera susceptible a vulnerabilidades pasadas, haciendo que las vulnerabilidades reparadas dejaran de arreglarse y haciendo que el término "completamente parcheada" careciera de significado en cualquier máquina con Windows del mundo", dijo Leviev.

A pesar de que la seguridad del kernel mejoró significativamente a lo largo de los años, Leviev logró eludir la función Driver Signature Enforcement (DSE), lo que muestra cómo un atacante podría cargar controladores de kernel no firmados para implementar rootkit que deshabilita los controles de seguridad y oculta la actividad que podría conducir a la detección del compromiso.

Si bien las nuevas protecciones hacen que sea más difícil comprometer el kernel, "la capacidad de degradar los componentes que residen en el kernel simplifica mucho las cosas para los atacantes", explica el investigador.

Leviev llama a su método "ItsNotASecurityBoundary" DSE Bypass porque es una degradación del exploit ItsNotASecurityBoundary que aprovecha fallas de inmutabilidad de archivos falsos, una nueva clase de vulnerabilidad en Windows identificada por Gabriel Landau de Elastic como una forma de lograr la ejecución de código arbitrario con privilegios del kernel.

Apuntando al kernel

En una nueva investigación, Leviev muestra cómo un atacante con privilegios de administrador en una máquina objetivo podría aprovechar el proceso de actualización de Windows para eludir las protecciones DSE al degradar un componente parcheado, incluso en sistemas Windows 11 completamente actualizados.


El ataque es posible reemplazando el archivo "ci.dll", el responsable de hacer cumplir DSE, con una versión sin parches que ignora las firmas de los controladores, lo que esencialmente elude las comprobaciones de protección de Windows. Una vez que el componente se degrada a una versión vulnerable, la máquina debe reiniciarse, como durante un proceso de actualización legítimo.

En el vídeo, el investigador demuestra cómo revirtió el parche DSE mediante un ataque de degradación y luego explotó el componente en una máquina con Windows 11 23H2 completamente parcheada.

Leviev también describe métodos para deshabilitar o eludir la seguridad basada en virtualización (VBS) de Microsoft que crea un entorno aislado para que Windows proteja recursos esenciales y activos de seguridad como el mecanismo seguro de integridad del código del núcleo (skci.dll) y las credenciales de usuario autenticado.

VBS generalmente se basa en protecciones como bloqueos UEFI y configuraciones de registro para evitar cambios no autorizados, pero se puede deshabilitar si no se configura con máxima seguridad (indicador "mandatory") realizando una modificación de clave de registro específica.

Cuando están parcialmente habilitados, los archivos clave de VBS, como "SecureKernel.exe", pueden reemplazarse con versiones corruptas que interrumpen el funcionamiento de VBS y abren el camino para omitir "ItsNotASecurityBoundary" y reemplazar "ci.dll".

El trabajo de Leviev muestra que los ataques de degradación todavía son posibles a través de varias vías, incluso si a veces conllevan fuertes requisitos previos de privilegios.

La solución.. viene en camino

Si bien las vulnerabilidades explotadas para el ataque de degradación se presentaron en BlackHat y DEFCON (es decir, CVE-2024-21302 y CVE-2024-38202), Microsoft aún tiene que abordar el problema Windows Update.

"[...] el reemplazo de Windows Update, que también fue reportada a Microsoft, no ha sido parcheada, ya que no cruzó un límite de seguridad definido. Obtener la ejecución del código del kernel como administrador no se considera cruzar un límite de seguridad (no es un vulnerabilidad)", señala Leviev.

Hasta que Microsoft corrija el problema, el investigador destaca que las soluciones de seguridad deben monitorear y detectar ataques de degradación, ya que continúan representando un riesgo significativo para las organizaciones.

Un portavoz de Microsoft dice que la compañía está "desarrollando activamente mitigaciones para protegerse contra estos riesgos". Sin embargo, el proceso implica "una investigación exhaustiva, desarrollo de actualizaciones en todas las versiones afectadas y pruebas de compatibilidad" para garantizar que los clientes estén protegidos y se minimicen las interrupciones operativas.

La compañía está desarrollando una actualización de seguridad que mitiga el problema al revocar archivos del sistema VBS obsoletos y sin parches. No está claro cuándo estará disponible la actualización, ya que el problema es complejo y requiere pruebas exhaustivas para evitar fallas o regresiones en la integración.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!