Ataque de degradación de actualización de Windows indetectable expone sistemas completamente actualizados

Alon Leviev, un investigador de seguridad en SafeBreach, ha llamado urgentemente la atención sobre los “ataques de degradación” de software en sistemas Windows 10, Windows 11 y Windows Server que pueden forzar a un software completamente actualizado a revertir a una versión anterior con vulnerabilidades conocidas y explotables.

Haciendo el anuncio en la conferencia de seguridad en curso “Black Hat 2024” celebrada en Las Vegas, Leviev advirtió que los actores maliciosos pueden exponer y explotar vulnerabilidades previamente “totalmente parcheadas” para comprometer sistemas y obtener acceso no autorizado.

Leviev mostró cómo el proceso de actualización de Windows podría ser comprometido para degradar componentes críticos del sistema operativo, incluidas bibliotecas de enlace dinámico (DLL), controladores e incluso el núcleo NT.

Aunque un ataque de degradación revertiría todos los componentes críticos a versiones anteriores, la verificación de actualización informaría falsamente que el sistema operativo (SO) estaba completamente actualizado y no podía instalar futuras actualizaciones, mientras que las herramientas de recuperación y escaneo no podían identificar ningún problema.

“Encontré varias vulnerabilidades que utilicé para desarrollar Windows Downdate—una herramienta para tomar el control del proceso de actualización de Windows para crear degradaciones completamente indetectables, invisibles, persistentes e irreversibles en componentes críticos del SO—que me permitieron elevar privilegios y eludir características de seguridad. Como resultado, pude hacer que una máquina Windows completamente parcheada fuera susceptible a miles de vulnerabilidades pasadas, convirtiendo vulnerabilidades corregidas en cero días y haciendo que el término ‘totalmente parcheado’ fuera irrelevante en cualquier máquina Windows en el mundo,” escribió Leviev en una publicación de blog.

El investigador israelí pudo degradar con éxito el Proceso de Modo de Usuario Aislado de Credential Guard, el Núcleo Seguro y el hipervisor de Hyper-V al explotar las vulnerabilidades de cero días, exponiendo así vulnerabilidades de escalada de privilegios pasadas.

“Descubrí múltiples formas de deshabilitar la seguridad basada en virtualización de Windows (VBS), incluidas sus características como Credential Guard y la integridad del código protegido por hipervisor (HVCI), incluso cuando se aplican con bloqueos UEFI. Hasta donde sé, esta es la primera vez que se han eludido los bloqueos UEFI de VBS sin acceso físico,” reveló Leviev.

“Como resultado, pude hacer que una máquina Windows completamente parcheada fuera susceptible a miles de vulnerabilidades pasadas, convirtiendo vulnerabilidades corregidas en cero días y haciendo que el término ‘totalmente parcheado’ fuera irrelevante en cualquier máquina Windows en el mundo.”

Según Leviev, esta es la primera vez que se han eludido los bloqueos UEFI de la seguridad basada en virtualización (VBS) sin acceso físico. Las implicaciones de su investigación son significativas no solo para Microsoft Windows, sino también para todos los proveedores de sistemas operativos que pueden estar sujetos a ataques de degradación.

SafeBreach Labs informó del ataque de degradación, denominado ‘Windows Downdate’, a Microsoft en febrero de este año como parte de un proceso de divulgación responsable coordinado. Seis meses después del informe, Leviev reveló el ataque de degradación ‘Windows Downdate’ al público.

Microsoft ha emitido avisos sobre las dos vulnerabilidades de cero días no parcheadas (seguimiento como CVE-2024-38202 y CVE-2024-21302) y dijo que los clientes serán notificados cuando la mitigación oficial esté disponible en una actualización de seguridad de Windows. También dijo que no tiene conocimiento de ningún intento de explotar estas vulnerabilidades en la naturaleza.

Mientras tanto, la compañía ha dado recomendaciones que no mitigan las vulnerabilidades pero que pueden usarse para reducir el riesgo de explotación hasta que la actualización de seguridad esté disponible.

“Agradecemos el trabajo de SafeBreach en identificar y reportar responsablemente esta vulnerabilidad a través de una divulgación coordinada de vulnerabilidades. Estamos desarrollando activamente mitigaciones para proteger contra estos riesgos mientras seguimos un proceso extenso que involucra una investigación exhaustiva, desarrollo de actualizaciones en todas las versiones afectadas y pruebas de compatibilidad, para garantizar la máxima protección al cliente con la mínima interrupción operativa,” dijo un portavoz de Microsoft en un comunicado.