Un ataque a una degradación de Windows amenaza con exponer los sistemas parcheados para detectar vulnerabilidades heredadas

08 agosto 2024Ravi LakshmananSeguridad/Vulnerabilidades en Windows

Microsoft dijo que estaba desarrollando actualizaciones de seguridad para abordar dos vulnerabilidades que, según dijo, podrían usarse para lanzar ataques de degradación de Windows y reemplazar las versiones actuales de los archivos del sistema operativo con versiones anteriores.

Las vulnerabilidades se enumeran a continuación:

• CVE-2024-38202 (Puntuación CVSS: 7,3): una vulnerabilidad de elevación de privilegios en el paquete de Windows Update
• CVE-2024-21302 (Puntuación CVSS: 6,7) – Vulnerabilidad de elevación de privilegios en el modo Kernel Secure Windows

El crédito por descubrir e informar las fallas es para el investigador de SafeBreach Labs, Alon Leviev, quien presentó los resultados en Sombrero Negro Estados Unidos 2024 Y DefCon 32.

CVE-2024-38202, que se arraiga en el componente de copia de seguridad de Windows, permite que «un atacante con privilegios de usuario básicos reintroduzca vulnerabilidades previamente mitigadas o eluda ciertas características de seguridad basada en virtualización (VBS)», dijo el gigante tecnológico.

Sin embargo, señaló que un atacante que intentara aprovechar la vulnerabilidad tendría que convencer a un administrador del sistema o a un usuario con permisos delegados para que realizara una restauración del sistema, lo que desencadenaría la vulnerabilidad sin darse cuenta.

La segunda vulnerabilidad también se relaciona con una situación de escalada de privilegios en sistemas Windows que admiten VBS, lo que permite efectivamente a un atacante reemplazar las versiones actuales de los archivos del sistema Windows con versiones anteriores.

Las consecuencias de CVE-2024-21302 son que puede utilizarse como arma para reintroducir fallas de seguridad previamente abordadas, eludir algunas funciones de VBS y extraer datos protegidos por VBS.

Leviev, quien detalló una herramienta que llamó Windows Downdate, Él dijo Se puede utilizar para convertir «una PC con Windows completamente parcheada en vulnerable a miles de vulnerabilidades anteriores, convirtiendo vulnerabilidades persistentes en vulnerabilidades impenetrables y haciendo que el término ‘completamente parcheada’ carezca de significado en cualquier PC con Windows del mundo».

Leviev agregó que la herramienta puede «secuestrar el proceso de actualización de Windows para crear versiones actualizadas indetectables, invisibles, persistentes e irreversibles en los componentes centrales del sistema operativo, lo que me permitió escalar privilegios y eludir las funciones de seguridad».

Además, Windows Downdate puede omitir los pasos de verificación, como la verificación de integridad y la aplicación de instaladores confiables, lo que permite degradar de manera efectiva los componentes críticos del sistema operativo, incluidas las bibliotecas de enlaces dinámicos (DLL), los controladores y el kernel NT.

Además, los problemas se pueden aprovechar para degradar el proceso del modo de usuario aislado en Credential Guard, Secure Kernel y el hipervisor de Hyper-V para exponer vulnerabilidades de escalada de privilegios anteriores, así como deshabilitar VBS, junto con características como la integridad del código protegido del hipervisor (HVCI). .

El resultado final es que un sistema Windows completamente parcheado puede volverse vulnerable a miles de vulnerabilidades anteriores, convirtiendo las fallas solucionadas en vulnerabilidades sin parches.

Estas reducciones tienen el efecto adicional de que el sistema operativo informe que todo el sistema está actualizado y, al mismo tiempo, evita que se instalen futuras actualizaciones y evita que las herramientas de recuperación y escaneo las detecten.

«El ataque de degradación que pude realizar en el clúster de virtualización dentro de Windows fue posible debido a una falla de diseño que permitía que los niveles/anillos de confianza virtuales menos privilegiados actualizaran los componentes ubicados en niveles/anillos de confianza virtuales más privilegiados», dijo Leviev.

«Esto fue muy sorprendente, dado que las funciones VBS de Microsoft se anunciaron en 2015, lo que significa que la superficie de ataque que descubrió había existido durante casi una década».