Se podr\u00eda utilizar una nueva t\u00e9cnica de ataque para eludir la aplicaci\u00f3n de la firma del controlador (DSE) de Microsoft en sistemas Windows completamente parcheados, lo que provocar\u00eda ataques de degradaci\u00f3n del sistema operativo (SO).<\/p>\n
“Esta omisi\u00f3n permite cargar controladores de kernel no firmados, lo que permite a los atacantes implementar rootkits personalizados que pueden neutralizar los controles de seguridad, ocultar procesos y actividad de red, mantener el sigilo y mucho m\u00e1s”, dijo el investigador de SafeBreach, Alon Leviev. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Los \u00faltimos hallazgos se basan en un an\u00e1lisis anterior que descubri\u00f3 dos fallas de escalada de privilegios en el proceso de actualizaci\u00f3n de Windows (CVE-2024-21302<\/a> y CVE-2024-38202<\/a>) que podr\u00eda utilizarse como arma para revertir un software de Windows actualizado a una versi\u00f3n anterior que contenga vulnerabilidades de seguridad sin parches.<\/p>\n El exploit se materializ\u00f3 en forma de una herramienta denominada Windows Downdate, que, seg\u00fan Leviev, podr\u00eda usarse para secuestrar el proceso de actualizaci\u00f3n de Windows y crear degradaciones totalmente indetectables, persistentes e irreversibles en componentes cr\u00edticos del sistema operativo.<\/p>\n Esto puede tener graves consecuencias, ya que ofrece a los atacantes una mejor alternativa que Bring Your Own Vulnerable Driver (BYOVD<\/a>) ataques<\/a>lo que les permite degradar los m\u00f3dulos propios, incluido el propio kernel del sistema operativo. <\/p>\n Posteriormente, Microsoft abord\u00f3 CVE-2024-21302 y CVE-2024-38202 el 13 de agosto y el 8 de octubre de 2024, respectivamente, como parte de las actualizaciones del martes de parches.<\/p>\n El \u00faltimo enfoque ideado por Leviev aprovecha la herramienta de degradaci\u00f3n para degradar el parche de omisi\u00f3n DSE “ItsNotASecurityBoundary” en un sistema Windows 11 completamente actualizado.<\/p>\n Su l\u00edmite de seguridad no era documentado por primera vez<\/a> por el investigador de Elastic Security Labs Gabriel Landau en julio de 2024 junto con PPLFault, describi\u00e9ndolos como una nueva clase de error con nombre en c\u00f3digo False File Immutability. Microsoft lo solucion\u00f3 a principios de mayo.<\/p>\n En pocas palabras, aprovecha una condici\u00f3n de carrera para reemplazar una verificada. archivo de cat\u00e1logo de seguridad<\/a> con una versi\u00f3n maliciosa que contiene una firma de c\u00f3digo de autenticaci\u00f3n para un controlador de kernel sin firmar, tras lo cual el atacante solicita al kernel que cargue el controlador.<\/p>\n El mecanismo de integridad del c\u00f3digo de Microsoft, que se utiliza para autenticar un archivo utilizando la biblioteca en modo kernel. ci.dll<\/a>luego analiza el cat\u00e1logo de seguridad fraudulento para validar la firma del controlador y cargarlo, otorgando efectivamente al atacante la capacidad de ejecutar c\u00f3digo arbitrario en el kernel.<\/p>\n La omisi\u00f3n de DSE se logra utilizando la herramienta de degradaci\u00f3n para reemplazar la biblioteca “ci.dll” con una versi\u00f3n anterior (10.0.22621.1376.) para deshacer el parche implementado por Microsoft.<\/p>\n Dicho esto, existe una barrera de seguridad que puede impedir que dicha derivaci\u00f3n tenga \u00e9xito. Si la seguridad basada en virtualizaci\u00f3n (VBS) se est\u00e1 ejecutando en el host de destino, el escaneo del cat\u00e1logo lo realiza la DLL Secure Kernel Code Integrity (skci.dll), a diferencia de ci.dll.<\/p>\n Sin embargo, vale la pena se\u00f1alar que la configuraci\u00f3n predeterminada es VBS sin bloqueo de interfaz de firmware extensible unificada (UEFI). Como resultado, un atacante podr\u00eda desactivarlo alterando las claves de registro EnableVirtualizationBasedSecurity y RequirePlatformSecurityFeatures.<\/p>\n Incluso en los casos en los que el bloqueo UEFI est\u00e1 habilitado, el atacante podr\u00eda desactivar VBS reemplazando uno de los archivos principales con una contraparte no v\u00e1lida. En ultima instancia, los pasos de explotacion que debe seguir un atacante se encuentran a continuacion:<\/p>\n El \u00fanico caso en el que falla es cuando VBS se activa con un bloqueo UEFI y un indicador “Obligatorio”, el \u00faltimo de los cuales provoca una falla en el arranque cuando los archivos VBS est\u00e1n da\u00f1ados. El modo Obligatorio se habilita manualmente mediante un cambio de registro.<\/p>\n “La configuraci\u00f3n Obligatoria impide que el cargador del sistema operativo contin\u00fae arranc\u00e1ndose en caso de que el hipervisor, el kernel seguro o uno de sus m\u00f3dulos dependientes no se cargue”, Microsoft notas<\/a> en su documentaci\u00f3n. “Se debe tener especial cuidado antes de habilitar este modo, ya que, en caso de cualquier fallo de los m\u00f3dulos de virtualizaci\u00f3n, el sistema se negar\u00e1 a arrancar.”<\/p>\n Por lo tanto, para mitigar completamente el ataque, es esencial que VBS est\u00e9 habilitado con el bloqueo UEFI y el indicador Mandatorio configurado. En cualquier otro modo, hace posible que un adversario desactive la funci\u00f3n de seguridad, realice la degradaci\u00f3n de DDL y logre una omisi\u00f3n de DSE.<\/p>\n “La conclusi\u00f3n principal […] es que las soluciones de seguridad deber\u00edan intentar detectar y prevenir procedimientos de degradaci\u00f3n incluso para componentes que no cruzan l\u00edmites de seguridad definidos”, dijo Leviev a The Hacker News.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Investigadores-descubren-una-vulnerabilidad-de-degradacion-del-sistema-operativo-dirigida.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/center><\/div>\n