Investigación sobre vulnerabilidad en Windows Update
Una nueva investigación que se presenta hoy en la conferencia de seguridad Black Hat en Las Vegas revela que una vulnerabilidad en Windows Update podría ser aprovechada para degradar Windows a versiones anteriores, exponiendo una serie de vulnerabilidades históricas que luego pueden ser explotadas para obtener el control total de un sistema. Microsoft ha declarado que está trabajando en un proceso complejo para corregir este problema, denominado “Downdate”.
Descubrimiento del investigador Alon Leviev
Alon Leviev, el investigador de SafeBreach Labs que descubrió la falla, comenzó a buscar métodos de ataque de degradación tras observar que una sorprendente campaña de hacking del año pasado utilizaba un tipo de malware (conocido como “BlackLotus UEFI bootkit”) que dependía de degradar el gestor de arranque de Windows a una versión antigua y vulnerable. Al examinar el flujo de Windows Update, Leviev descubrió un camino para degradar estratégicamente Windows—ya sea el sistema operativo completo o componentes específicos. A partir de ahí, desarrolló un ataque de prueba de concepto que utilizó este acceso para deshabilitar la protección de Windows conocida como Seguridad Basada en Virtualización (VBS) y, en última instancia, dirigirse a código altamente privilegiado que se ejecuta en el núcleo de la computadora (“kernel”).
Detalles técnicos del exploit
“Encontré un exploit de degradación que es totalmente indetectable porque se realiza utilizando Windows Update, que el sistema confía”, dijo Leviev a WIRED antes de su charla en la conferencia. “En términos de invisibilidad, no desinstalé ninguna actualización; básicamente actualicé el sistema aunque, bajo el capó, fue degradado. Así que el sistema no es consciente de la degradación y aún parece estar actualizado.”
Riesgos potenciales y respuesta de Microsoft
Leviev menciona que su capacidad de degradación proviene de una falla en los componentes del proceso de Windows Update. Al realizar una actualización, su PC coloca esencialmente una solicitud de actualización en una carpeta especial. Luego, presenta esta carpeta al servidor de actualizaciones de Microsoft, que verifica y confirma su integridad. Después, el servidor crea una carpeta de actualización adicional para usted que solo él puede controlar, donde coloca y finaliza la actualización y también almacena una lista de acciones—denominada “pending.xml”—que incluye los pasos del plan de actualización, como qué archivos se actualizarán y dónde se almacenará el nuevo código en su computadora.
Microsoft ha afirmado que no ha visto intentos de explotar esta técnica y que está desarrollando activamente mitigaciones para protegerse contra estos riesgos.
Fuente y créditos: www.wired.com
Cats: Security
