Un reciente descubrimiento ha puesto en jaque la seguridad de las máquinas Windows a nivel global. Leviev ha desarrollado un sofisticado ataque de degradación que explota el proceso de actualización de Windows, permitiendo que máquinas que estaban completamente parcheadas se vuelvan vulnerables de nuevo a través de vulnerabilidades que habían sido corregidas.
Ataque de degradación de Windows
El ataque, inspirado en el bootkit UEFI de BlackLotus, permite a los atacantes eludir mecanismos de seguridad críticos de Windows, como BitLocker, HVCI y Windows Defender, haciendo que las máquinas comprometidas sean vulnerables a miles de vulnerabilidades pasadas. Leviev descubrió que era posible manipular el proceso de actualización de Windows, utilizando una lista personalizada de acciones de degradación que no es detectada por los mecanismos de seguridad del sistema.
El investigador identificó que la clave de registro PoqexecCmdline, responsable de ejecutar las acciones de actualización, carecía de las protecciones adecuadas, permitiéndole controlar todas las acciones de actualización. Mediante este método, Leviev logró degradar componentes críticos del sistema operativo, como librerías dinámicas (DLLs), drivers e incluso el núcleo NT de Windows. Además, encontró formas de desactivar la seguridad basada en virtualización de Windows (VBS), así como otros mecanismos de protección críticos, como Credential Guard y Hypervisor-Protected Code Integrity (HVCI).
Dos vulnerabilidades de zero-day aún sin parchear
El ataque de Leviev también aprovecha dos vulnerabilidades de elevación de privilegios de día cero (CVE-2024-38202 y CVE-2024-21302) en la pila de actualizaciones de Windows y en el núcleo seguro de Windows, respectivamente. Estas vulnerabilidades aún no han sido parcheadas, lo que incrementa el riesgo de explotación.
Microsoft, que fue informada de estos hallazgos en febrero de 2024, está desarrollando una actualización de seguridad para mitigar estos problemas. Mientras tanto, se recomienda a los usuarios realizar auditorías de permisos y aplicar Listas de Control de Acceso para reducir el riesgo de explotación.
Conclusión
El ataque de degradación descubierto por Leviev pone de relieve la importancia de revisar continuamente las características de diseño de los sistemas operativos, independientemente de su antigüedad. Este hallazgo es un recordatorio para los desarrolladores de que incluso las características que han existido durante años pueden convertirse en superficies de ataque si no se protegen adecuadamente.