Windows Downdate: ninguna actualización salvará su computadora de un ciberataque

En la conferencia Black Hat 2024, que se lleva a cabo en Las Vegas del 7 al 8 de agosto, el investigador de seguridad Alon Leviev de SafeBreach reveló dos nuevas vulnerabilidades de día cero (zero-day) que pueden ser utilizadas en los llamados ataques de Downgrade para revertir los sistemas operativos Windows 10, 11 y Server a versiones anteriores, con la posterior explotación de los defectos de seguridad ya corregidos.

Por supuesto, Leviev siguió una política de divulgación responsable y notificó previamente a Microsoft sobre la existencia de las brechas. Sin embargo, las vulnerabilidades, identificadas como CVE-2024-38202 y CVE-2024-21302, aún no se han corregido, aunque la compañía ha proporcionado ciertas recomendaciones para mitigar las consecuencias (disponibles en los enlaces anteriores).

Los ataques de Downgrade permiten a los atacantes obligar a un dispositivo actualizado a volver a versiones más antiguas del software, restaurando los viejos defectos de seguridad que pueden ser explotados para comprometer el sistema.

Leviev descubrió que el proceso de actualización de Windows puede ser comprometido para degradar versiones de componentes críticos del sistema operativo, como las bibliotecas DLL y el núcleo NT. Y aunque después del ataque estos componentes serán efectivamente obsoletos, Windows Update aún indicará que el sistema está completamente actualizado, y las herramientas de recuperación y escaneo no detectarán ningún problema.

Leviev también encontró formas de desactivar la función de virtualización de Windows (VBS), incluidas Credential Guard y Hypervisor-Protected Code Integrity (HVCI), incluso cuando se utilizan registros UEFI. Según el investigador, este es el primer caso de evasión de los registros UEFI sin acceso físico al dispositivo.

El experto señaló que este tipo de ataques no se detectan con soluciones de protección de puntos finales (EDR) y son invisibles para Windows Update, lo que los hace especialmente peligrosos. Leviev enfatizó que la vulnerabilidad hace que el término «completamente actualizado» carezca de sentido para cualquier máquina con Windows, exponiéndola a miles de vulnerabilidades anteriormente corregidas.

Leviev presentó el ataque llamado «Windows Downdate» seis meses después de informar sobre las vulnerabilidades a Microsoft. La compañía confirmó que está trabajando en su corrección, pero aún no se ha lanzado un parche funcional.

Microsoft declaró que no tiene conocimiento de intentos de explotación de estas vulnerabilidades en condiciones reales y recomendó seguir las pautas publicadas en dos notas de seguridad para reducir el riesgo de explotación hasta que se lance una actualización.

Leviev señaló que las consecuencias de estas vulnerabilidades son significativas no solo para Windows, sino también para otros sistemas operativos que pueden ser vulnerables a ataques similares de degradación de versiones.

Los representantes de Microsoft agradecieron a SafeBreach por descubrir y reportar responsablemente la vulnerabilidad. La compañía trabaja en el desarrollo de medidas de protección contra estos riesgos, incluida la creación de una actualización que revoque los archivos del sistema Virtualization Based Security (VBS) obsoletos y desprotegidos. Sin embargo, el proceso de prueba de la actualización llevará tiempo debido a la gran cantidad de archivos afectados.