Tener todo actualizado, es esencial para no tener problemas de seguridad. Esto incluye el propio sistema operativo, cualquier programa que instales o los drivers. En este artículo, nos hacemos eco de un problema que afecta a Windows. Concretamente, los atacantes pueden desactualizar componentes del núcleo del sistema. Esto puede evitar ciertas funciones de seguridad, como el uso de firmas de controladores, y colar rootkits.
Este problema puede afectar a alguien que tenga su equipo perfectamente actualizado. Como vamos a explicarte, los atacantes van a tomar el control de Windows Update, la característica del sistema de Microsoft para instalar actualizaciones, y colar así software obsoleto, que pueda tener vulnerabilidades conocidas.
Cuelan rootkits en sistemas actualizados
Este descubrimiento lo han realizado desde SafeBreach, concretamente, Alon Leviev. Se trata de un problema que consiste en la toma de control de las actualizaciones en Windows. Para ello, tendrían que ejecutar código en el núcleo y, de esta forma, degradar un sistema correctamente actualizado. Básicamente, que un atacante cuele software obsoleto y sustituya al actualizado.
Aquí podemos incluir controladores, componentes DLL o el núcleo NT. Un equipo con Windows que esté perfectamente actualizado, y protegido contra muchas amenazas, pasaría a ser vulnerable. De esta forma, un atacante podría tomar el control, robar datos, contraseñas o cualquier acción, en función del tipo de malware o ataque.
Esto lo consiguen al eludir la función conocida como Driver Signature Enforcement (DSE). Con esto, un atacante podría cargar controladores de Kernel sin firmar y colar así malware rootkit, el cual podría deshabilitar otras características de seguridad y actuar libremente, sin que sea detectado por el sistema.
Indican también que en los últimos años han introducido mejoras para evitar precisamente esto que mencionamos, pero sigue siendo posible. Al degradar el sistema, al poder colar software o controladores obsoletos y con vulnerabilidades, esto puede afectar seriamente a la seguridad. El investigador de seguridad Alon Leviev, ha llamado a su método ItsNotASecurityBoundary.
Atacante con privilegios de administrador
En sus pruebas, Leviev ha demostrado cómo un atacante que cuente con privilegios de administrador, podría explotar el proceso de Windows Update y, de esta forma, eludir esas medidas de protección DSE. Para lograrlo, lo que hacen es reemplazar el archivo ci.dll, que se encarga de aplicar DSE. Lo reemplazan con una versión sin actualizar, obsoleta, que va a ignorar las firmas del controlador.
De forma resumida, podemos decir que, al cambiar ese archivo, consiguen saltarse las medidas de protección de Windows. Con esto, un atacante podría lanzar alguna estrategia que explote algún fallo conocido antiguo, como si no hubiera un parche disponible. Un problema importante, pues deja al sistema desprotegido.
Por el momento, parece que Microsoft está trabajando en una solución definitiva, para evitar que esto pueda ocurrir. El investigador indica que, hasta que llegue esa solución definitiva, las aplicaciones de seguridad deberían monitorear y detectar ataques de degradación, para evitar que puedan explotarlos.
Como usuarios, lo que debemos hacer siempre es mantener todo actualizado, instalar un buen programa de seguridad y asegurarnos de no cometer errores. En muchos casos, los cibercriminales van a necesitar que cometamos algún fallo. Proteger al máximo Windows 11, es fundamental.
El artículo Nuevo problema para Windows: se saltan la seguridad y cuelan software vulnerable aunque tengas todo actualizado se publicó en RedesZone.
0 Commentaires