Bypass de firma de controladores en Windows
- Los atacantes pueden degradar componentes del kernel de Windows para evadir funciones de seguridad como la aplicación obligatoria de firma de controladores e instalar rootkits en sistemas totalmente parcheados.
- Al controlar el proceso de Windows Update, pueden introducir componentes de software antiguos y vulnerables en sistemas actualizados.
Downgrade de Windows
- El investigador de seguridad de SafeBreach, Alon Leviev, reportó un problema en los argumentos de actualización, pero Microsoft lo ignoró al considerar que no cruzaba un límite de seguridad.
- Leviev demostró en las conferencias de seguridad BlackHat y DEFCON que el ataque es posible, y el problema sigue sin resolverse.
- El investigador presentó una herramienta llamada Windows Downdate, con la que se pueden crear downgrades personalizados y volver a exponer vulnerabilidades ya corregidas mediante componentes antiguos.
- Leviev mostró que es posible evadir la función Driver Signature Enforcement (DSE), cargar controladores de kernel sin firma y desplegar malware tipo rootkit que desactive controles de seguridad.
Apuntando al kernel
- Leviev explicó cómo abusar del proceso de Windows Update para evadir las protecciones de DSE.
- Al reemplazar el archivo
ci.dll por una versión sin parchear, se puede ignorar la firma de controladores y saltarse las verificaciones de protección de Windows.
- Este reemplazo se activa mediante Windows Update y explota una condición de doble lectura en la que Windows verifica una copia actualizada mientras una copia vulnerable de
ci.dll se carga en memoria.
- También explicó métodos para desactivar o evadir VBS (seguridad basada en virtualización).
Resumen de GN⁺
- Este artículo explica cómo se puede abusar de una vulnerabilidad de seguridad en sistemas Windows para evadir la aplicación obligatoria de firma de controladores e instalar rootkits.
- Estos ataques son posibles al abusar del proceso de Windows Update para degradar componentes ya parcheados.
- Esto resalta que las herramientas de seguridad deben monitorear de cerca los procedimientos de downgrade, incluso cuando no parezcan cruzar límites de seguridad importantes.
- Como otras herramientas de seguridad con capacidades similares, se recomiendan soluciones EDR (Endpoint Detection and Response).
1 comentarios
Opiniones de Hacker News
MS afirma que UAC no es un límite de seguridad. Dice que la aplicación obligatoria de firmas de controladores es una función de seguridad, pero que en este caso no se cruza un límite de seguridad
Opinión de un usuario que siente que falta un modelo conceptual de por qué Windows es vulnerable a ataques
Un usuario con privilegios de administrador puede realizar acciones arbitrarias en la computadora. Un usuario se pregunta si hay alguna diferencia sutil que aumente la gravedad de este ataque
Opinión de que es difícil creer que Microsoft se oponga a esto a pesar de que hay una demostración. La cuenta de Vimeo tiene muchos otros hallazgos de seguridad
Con ejecución de código del kernel con privilegios de administrador, el usuario root puede instalar un rootkit. El investigador presentó una herramienta llamada Windows Downdate
En Windows y Linux, una cuenta local con privilegios normales es en la práctica equivalente a root. Opinión sobre las diferencias entre UAC y sudo. Opinión de que sería mejor eliminar ambos en la configuración predeterminada
El kernel aplica las reglas de uso compartido de archivos, pero no verifica permisos en conflicto para el mapeo de memoria. Linux eliminó el bloqueo obligatorio
El ataque es sospechosamente simple. Engaña al proceso de actualización para instalar versiones anteriores de componentes vulnerables del kernel. Opinión de que MS seguramente ya había considerado este problema
Un usuario recuerda las dificultades de cuando Microsoft exigió firmas de controladores. Elogios a Alon Leviev y SafeBreach por descubrir esta vulnerabilidad
Se puede modificar Windows 11 para convertirlo en un mejor sistema operativo, pero la opinión es que conviene enfocarse en los rootkits