Notebookcheck Logo

Lo viejo es nuevo: una vulnerabilidad de Windows permite ataques de downgrade indetectables

La ruta del ataque (Fuente de la imagen: SafeBreach)
La ruta del ataque (Fuente de la imagen: SafeBreach)
En Black Hat USA 2024, un investigador mostró un método para apoderarse del proceso de actualización de Windows con el fin de elaborar un downgrade personalizado del sistema. Con el sistema degradado, los actores de amenazas pueden elevar privilegios, eludir funciones de seguridad y explotar vulnerabilidades parcheadas previamente.

En la Conferencia Black Hat USA 2024, SafeBreach el investigador Alon Leviev presentó un ataque que manipula un archivo XML de lista de acciones para impulsar una herramienta "Windows Downdate" que elude todos los pasos de verificación de Windows y el instalador de confianza. La herramienta también puede manipular Windows para confirmar que el sistema está totalmente actualizado.

El proceso de actualización de Windows ya se había visto comprometido anteriormente. Lanzado en 2023, el BlackLotus UEFI Bootkit incluye capacidades de "downgrade" que utilizan vulnerabilidades en la arquitectura de Windows Update. Similar al método que mostró Leviev, el BlackLotus Bootkit downgrades varios componentes del sistema para eludir los bloqueos VBS UEFI. Un actor de la amenaza puede entonces utilizar ataques de "día cero" de escalada de privilegios en un sistema previamente actualizado. En una entrada de blog en SafeBreach, Leviev declaró " He descubierto múltiples formas de desactivar la seguridad basada en la virtualización (VBS) de Windows, incluidas sus características como Credential Guard y la integridad del código protegido por el hipervisor (HVCI), incluso cuando se aplica con bloqueos UEFI. Que yo sepa, es la primera vez que los bloqueos UEFI de VBS han sido burlados sin acceso físico"

Leviev informó a Microsoft de las vulnerabilidades en febrero de este año. Sin embargo, Microsoft sigue desarrollando una actualización de seguridad para revocar los sistemas VBS obsoletos y sin parches. Microsoft también planea publicar una guía para "proporcionar a los clientes mitigaciones u orientaciones pertinentes para la reducción de riesgos a medida que estén disponibles." La guía es necesaria ya que, según Leviev, estos ataques son indetectables e invisibles. Para obtener más información o ver el exploit en acción, visite los siguientes recursos.

Please share our article, every link counts!
Mail Logo
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2024 08 > Lo viejo es nuevo: una vulnerabilidad de Windows permite ataques de downgrade indetectables
Stephen Pereyra, 2024-08- 8 (Update: 2024-09- 8)