Elusión de VBS: un hacker rompe la última línea de defensa de Windows

El especialista de SafeBreach, Alon Leviev, descubrió que los atacantes pueden usar componentes antiguos del núcleo de Windows para eludir defensas clave, como la aplicación de firma de controladores (Driver Signature Enforcement), permitiendo la inserción de rootkits incluso en sistemas completamente actualizados. Este método de ataque es posible interceptando el proceso de actualización de Windows, lo que permite instalar componentes vulnerables y desactualizados en un sistema actualizado sin modificar su estado.

Leviev también desarrolló una herramienta llamada Windows Downdate, que permite crear una reversión personalizada y convierte un sistema "completamente actualizado" en vulnerable a fallos ya corregidos. Leviev afirmó haber logrado que vulnerabilidades previamente resueltas vuelvan a ser explotables, lo cual desafía la noción de un sistema Windows “completamente actualizado”. Esta técnica ha sido denominada ataque de degradación o "Downgrade Attack".

Utilizando este enfoque, el investigador identificó una nueva vulnerabilidad, CVE-2024-21302 (con una puntuación CVSS de 6.7), que permite elevar privilegios en dispositivos con Windows, incluidas máquinas virtuales y otras funciones. Microsoft corrigió rápidamente la vulnerabilidad debido a que atravesaba la llamada "frontera de seguridad". Sin embargo, el propio método de interceptación de actualizaciones no se modificó, ya que no se considera una infracción directa de seguridad.

A pesar de la corrección, el fallo sigue siendo peligroso, ya que un atacante que capture el proceso de actualización puede reactivar problemas antiguos en el sistema. Una de las funciones objetivo de estos ataques es el Driver Signature Enforcement (DSE), que generalmente no permite la ejecución de controladores sin firmar. Al restaurar la vulnerabilidad en el DSE, un hacker puede cargar controladores maliciosos en el sistema y ocultar sus actividades, eludiendo los mecanismos de protección de Windows.

El investigador también mostró que otras funciones de seguridad de Windows, como Virtualization-Based Security (VBS), pueden ser eludidas mediante modificaciones en el registro. Si VBS no está configurada para máxima seguridad, archivos críticos como SecureKernel.exe pueden ser reemplazados por versiones vulnerables, lo que permite eludir la protección y manipular componentes del sistema. Microsoft cuenta con protecciones a nivel de UEFI, pero activarlas requiere configuraciones adicionales. La protección completa solo está disponible si se activa VBS con bloqueo UEFI obligatorio.

Microsoft, por su parte, declaró que está desarrollando una actualización para solucionar estas vulnerabilidades y creando mecanismos que bloqueen archivos del sistema VBS antiguos. Sin embargo, no se han especificado fechas exactas de lanzamiento para estas correcciones, ya que se requiere un proceso de prueba exhaustivo para evitar fallos y problemas de compatibilidad.

Actualmente, la empresa insta a los equipos de seguridad a estar alertas y monitorear posibles ataques de reversión de versiones, ya que representan una amenaza seria para las organizaciones.