CVE-2024-38217: ¿Por qué no se pudo detectar el 0day en Windows durante 6 años?

La empresa Microsoft, en su reciente actualización Patch Tuesday, sobre la cual ya publicamos un material aparte, corrigió una vulnerabilidad de día cero en las funciones Windows Smart App Control y SmartScreen, que fue utilizada por atacantes durante los últimos seis años. Hablemos de esta falla de seguridad con más detalle.

Conocida como CVE-2024-38217, la vulnerabilidad permitía eludir los mecanismos de protección de Smart App Control y la marca de archivos «Mark of the Web» (MotW), lo que daba la posibilidad de ejecutar aplicaciones no confiables o potencialmente peligrosas sin advertencias del sistema de seguridad.

Como explicó Microsoft, para explotar exitosamente la brecha, el atacante solo necesitaba colocar un archivo especial en un servidor bajo su control y convencer al usuario de descargarlo y abrirlo. Esto permitía interferir en el funcionamiento del mecanismo MotW, responsable de verificar los archivos descargados.

La vulnerabilidad es especialmente peligrosa porque los atacantes pueden crear archivos maliciosos que eluden la protección de MotW, lo que lleva a comprometer la integridad y disponibilidad de funciones de protección, como la verificación de reputación de aplicaciones SmartScreen o las solicitudes del servicio Windows Attachment Services.

Smart App Control en Windows 11 utiliza los servicios en la nube de Microsoft y mecanismos de control de integridad para bloquear aplicaciones potencialmente peligrosas. Si esta función está deshabilitada, SmartScreen automáticamente asume la protección contra contenido peligroso. Ambos mecanismos de seguridad se activan al intentar abrir un archivo marcado con la etiqueta MotW.

En agosto, la empresa Elastic Security Labs ya reveló algunos detalles sobre la vulnerabilidad CVE-2024-38217, relacionados con el manejo de archivos LNK. El ataque, conocido como «LNK Stomping», permite eludir la protección de Smart App Control, que en condiciones normales bloquea la ejecución de aplicaciones no confiables.

El método LNK Stomping consiste en crear archivos con rutas o estructuras incorrectas. Al abrir dicho archivo, el explorador de Windows (explorer.exe) cambia automáticamente su formato, lo que elimina la etiqueta MotW y permite que el archivo pase la verificación de seguridad. Los atacantes pueden añadir un espacio o punto en la ruta al archivo ejecutable (por ejemplo, «powershell.exe»), lo que les permite eludir los mecanismos de protección y ejecutar el archivo sin advertencia.

Fueron los especialistas de Elastic quienes descubrieron que la vulnerabilidad se explotaba al menos desde 2018. Varios ejemplos de archivos maliciosos que utilizan este mecanismo de ataque, encontrados en los archivos de VirusTotal, datan precisamente de esa época. Mientras tanto, Microsoft reconoció el problema y confirmó que la vulnerabilidad fue corregida en la última actualización del sistema.

Así, incluso los mecanismos de protección comprobados en grandes productos pueden seguir siendo vulnerables durante mucho tiempo, a pesar de los grandes presupuestos y los altos estándares de seguridad. Los hackers no necesitan una oferta especial para aprovechar una brecha tentadora, lo que significa que los usuarios nunca deben relajarse ni bajar la guardia.