{"id":928406,"date":"2023-08-30T19:25:46","date_gmt":"2023-08-30T19:25:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-pueden-aprovechar-el-marco-de-aislamiento-de-contenedores-de-windows-para-eludir-la-seguridad-de-los-terminales\/"},"modified":"2023-08-30T19:25:50","modified_gmt":"2023-08-30T19:25:50","slug":"los-piratas-informaticos-pueden-aprovechar-el-marco-de-aislamiento-de-contenedores-de-windows-para-eludir-la-seguridad-de-los-terminales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-pueden-aprovechar-el-marco-de-aislamiento-de-contenedores-de-windows-para-eludir-la-seguridad-de-los-terminales\/","title":{"rendered":"Los piratas inform\u00e1ticos pueden aprovechar el marco de aislamiento de contenedores de Windows para eludir la seguridad de los terminales"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>30 de agosto de 2023<\/span>\ue804<\/i>THN<\/span><\/span>Malware\/Seguridad de terminales<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Nuevos hallazgos muestran que los actores maliciosos podr\u00edan aprovechar una t\u00e9cnica furtiva de evasi\u00f3n de detecci\u00f3n de malware y eludir las soluciones de seguridad de endpoints manipulando el marco de aislamiento de contenedores de Windows.<\/p>\n

Los hallazgos fueron presentados por el investigador de seguridad de Deep Instinct, Daniel Avinoam, en la Conferencia de seguridad DEF CON<\/a> celebrada a principios de este mes.<\/p>\n

Microsoft arquitectura de contenedores<\/a> (y por extensi\u00f3n, Zona de pruebas de Windows<\/a>) utiliza lo que se llama un imagen generada din\u00e1micamente<\/a> para separar el sistema de archivos de cada contenedor al host y al mismo tiempo evitar la duplicaci\u00f3n de archivos del sistema.<\/p>\n

No es m\u00e1s que una “imagen del sistema operativo que tiene copias limpias de archivos que pueden cambiar, pero enlaces a archivos que no pueden cambiar y que est\u00e1n en la imagen de Windows que ya existe en el host”, reduciendo as\u00ed el tama\u00f1o total de un sistema operativo completo.<\/p>\n

\"La<\/a><\/center><\/section>\n

“El resultado son im\u00e1genes que contienen ‘archivos fantasma’, que no almacenan datos reales sino que apuntan a un volumen diferente en el sistema”, Avinoam dicho<\/a> en un informe compartido con The Hacker News. “Fue en este punto que se me ocurri\u00f3 la idea: \u00bfqu\u00e9 pasar\u00eda si pudi\u00e9ramos utilizar este mecanismo de redirecci\u00f3n para ofuscar las operaciones de nuestro sistema de archivos y confundir los productos de seguridad?”<\/p>\n

Aqu\u00ed es donde entra en juego el controlador de minifiltro Windows Container Isolation FS (wcifs.sys). El objetivo principal del controlador es encargarse de la separaci\u00f3n del sistema de archivos entre los contenedores de Windows y su host. <\/p>\n

En otras palabras, el idea<\/a> es tener el proceso actual ejecut\u00e1ndose dentro de un contenedor fabricado y aprovechar el controlador del minifiltro para manejar las solicitudes de E\/S de modo que pueda crear, leer, escribir y eliminar archivos en el sistema de archivos sin alertar al software de seguridad.<\/p>\n\n\n\n\n
\"Marco<\/td>\n<\/tr>\n
Fuente: Microsoft<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Vale la pena se\u00f1alar en esta etapa que un minifiltro se conecta indirectamente a la pila del sistema de archivos, registr\u00e1ndose en el administrador de filtros<\/a> para las operaciones de E\/S que elige filtrar. Cada minifiltro es asignado<\/a> un valor de altitud “entero” asignado por Microsoft basado en los requisitos de filtro y el grupo de orden de carga.<\/p>\n

El controlador wcifs tiene un rango de altitud<\/a> de 180000-189999 (concretamente 189900), mientras que los filtros antivirus, incluidos los de terceros, funcionan en un rango de altitud de 320000-329999. Como resultado, se pueden realizar varias operaciones con archivos sin que se activen sus devoluciones de llamada.<\/p>\n

\"La<\/a><\/center><\/section>\n

“Debido a que podemos anular archivos usando la etiqueta de an\u00e1lisis IO_REPARSE_TAG_WCI_1 sin la detecci\u00f3n de controladores antivirus, su algoritmo de detecci\u00f3n no recibir\u00e1 la imagen completa y, por lo tanto, no se activar\u00e1”, explic\u00f3 Avinoam.<\/p>\n

Dicho esto, realizar el ataque requiere permisos administrativos para comunicarse con el controlador wcifs y no se puede utilizar para anular archivos en el sistema host.<\/p>\n

La divulgaci\u00f3n se produce cuando la empresa de ciberseguridad demostr\u00f3 una t\u00e9cnica sigilosa llamada NoFilter que abusa de la plataforma de filtrado de Windows (WFP) para elevar los privilegios de un usuario a los de SISTEMA y potencialmente ejecutar c\u00f3digo malicioso.<\/p>\n

Los ataques permiten el uso de WFP para duplicar tokens de acceso para otro proceso, activar una conexi\u00f3n IPSec y aprovechar el servicio Print Spooler para insertar un token de SISTEMA en la tabla y hacer posible obtener el token de otro usuario que haya iniciado sesi\u00f3n en el sistema comprometido. para movimientos laterales.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n