8 de agosto de 2024Ravie LakshmananSeguridad/Vulnerabilidad de Windows Microsoft dijo que está desarrollando actualizaciones de seguridad para abordar dos lagunas que, según dijo, podrían aprovecharse para realizar ataques de degradación contra la arquitectura de actualización de Windows y reemplazar las versiones actuales de los archivos del sistema operativo con versiones anteriores. Las vulnerabilidades se enumeran a continuación: CVE-2024-38202 (puntuación CVSS: 7,3): vulnerabilidad de elevación de privilegios de Windows Update Stack CVE-2024-21302 (puntuación CVSS: 6,7): vulnerabilidad de elevación de privilegios de Windows Secure Kernel Mode El descubrimiento y la notificación de las fallas se atribuyen al investigador de SafeBreach Labs Alon Leviev, quien presentó los hallazgos en Black Hat USA 2024 y DEF CON 32. CVE-2024-38202, que tiene su raíz en el componente Windows Backup, permite a un «atacante con privilegios de usuario básicos reintroducir vulnerabilidades previamente mitigadas o eludir algunas características de Virtualization Based Security (VBS)», dijo el gigante tecnológico. Sin embargo, señaló que un atacante que intente aprovechar la falla tendría que convencer a un administrador o un usuario con permisos delegados para que realice una restauración del sistema que active inadvertidamente la vulnerabilidad. La segunda vulnerabilidad también se refiere a un caso de escalada de privilegios en sistemas Windows que admiten VBS, lo que permite a un adversario reemplazar versiones actuales de archivos de sistema de Windows por versiones obsoletas. Las consecuencias de CVE-2024-21302 son que podría utilizarse como arma para reintroducir fallas de seguridad previamente abordadas, eludir algunas características de VBS y exfiltrar datos protegidos por VBS. Leviev, quien detalló una herramienta llamada Windows Downdate, dijo que podría usarse para convertir una «máquina Windows completamente parcheada en susceptible a miles de vulnerabilidades pasadas, convirtiendo las vulnerabilidades corregidas en vulnerabilidades de día cero y haciendo que el término ‘completamente parcheado’ no tenga sentido en cualquier máquina Windows del mundo». La herramienta, agregó Leviev, podría «tomar el control del proceso de Windows Update para crear degradaciones completamente indetectables, invisibles, persistentes e irreversibles en componentes críticos del sistema operativo, lo que me permitió elevar privilegios y eludir las funciones de seguridad». Además, Windows Downdate es capaz de eludir los pasos de verificación, como la verificación de integridad y la aplicación de Trusted Installer, lo que permite de manera efectiva degradar componentes críticos del sistema operativo, incluidas las bibliotecas de vínculos dinámicos (DLL), los controladores y el núcleo NT. Además, los problemas podrían explotarse para degradar el proceso de modo de usuario aislado de Credential Guard, el núcleo seguro y el hipervisor de Hyper-V para exponer vulnerabilidades de escalada de privilegios anteriores, así como deshabilitar VBS, junto con funciones como la integridad del código protegido por hipervisor (HVCI). El resultado neto es que un sistema Windows completamente parcheado podría volverse susceptible a miles de vulnerabilidades pasadas y convertir las deficiencias corregidas en días cero. Estas degradaciones tienen un impacto adicional en el sistema operativo, ya que informa que el sistema está completamente actualizado, al mismo tiempo que impide la instalación de futuras actualizaciones e inhibe la detección por parte de herramientas de recuperación y análisis. «El ataque de degradación que logré realizar en la pila de virtualización dentro de Windows fue posible debido a un fallo de diseño que permitió que los niveles/anillos de confianza virtuales menos privilegiados actualizaran los componentes que residen en niveles/anillos de confianza virtuales más privilegiados», dijo Leviev. «Esto fue muy sorprendente, dado que las características de VBS de Microsoft se anunciaron en 2015, lo que significa que la superficie de ataque de degradación que descubrí ha existido durante casi una década». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.