Existe una nueva y aterradora forma de deshacer los parches de seguridad de Windows
Los parches de seguridad para Windows son esenciales para mantener su PC a salvo del desarrollo de amenazas. Pero los ataques de degradación son una forma de eludir los parches de Microsoft, y un investigador de seguridad se propuso demostrar cuán fatales pueden ser.
El investigador de seguridad de SafeBreach, Alon Leviev, mencionó en una publicación del blog de la compañía que habían creado algo llamado herramienta Windows Downdate como prueba de concepto. La herramienta crea degradaciones persistentes e irreversibles en sistemas Windows Server y componentes de Windows 10 y 11.
Leviev explica que su herramienta (y amenazas similares) realiza un ataque de reversión de versión, “diseñado para revertir un software inmune y completamente actualizado a una versión anterior. Permiten a actores maliciosos exponer y explotar vulnerabilidades previamente reparadas o parcheadas para comprometer sistemas y obtener acceso no autorizado”.
También menciona que puede utilizar la herramienta para exponer la PC a vulnerabilidades más antiguas provenientes de controladores, DLL, Secure Kernel, NT Kernel, Hypervisor y más. Leviev continuó publicando lo siguiente en X (anteriormente Twitter) : “Aparte de las degradaciones personalizadas, Windows Downdate proporciona ejemplos de uso fáciles de usar para revertir parches para CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 y PPLFault, así como ejemplos para degradar el hipervisor, el kernel y evitar los bloqueos UEFI de VBS”.
Si aún no la has comprobado, ¡la herramienta de actualización de Windows ya está disponible! Puede usarlo para hacerse cargo de las actualizaciones de Windows para degradar y exponer vulnerabilidades anteriores originadas en archivos DLL, controladores, el kernel NT, el Kernel seguro, el hipervisor, los trustlets de IUM y más. https://t.co/59DRIvq6PZ
– Alon Leviev (@_0xDeku) 25 de agosto de 2024
Lo que también es preocupante es que la herramienta es indetectable porque no puede ser bloqueada por soluciones de respuesta y detección de puntos finales (EDR), y su computadora con Windows continuará informándole que está actualizada aunque no lo esté. También descubrió varias formas de desactivar la seguridad basada en virtualización (VBS) de Windows , incluida la integridad del código protegido por hipervisor (HVCI) y Credential Guard.
Microsoft lanzó una actualización de seguridad (KB5041773) el 7 de agosto para corregir la falla de escalada de privilegios del modo kernel seguro de Windows CVE-2024-21302 y un parche para CVE-2024-38202 . Microsoft también ha publicado algunos consejos que los usuarios de Windows pueden seguir para mantenerse seguros, como configurar los ajustes de "Auditar acceso a objetos" para buscar intentos de acceso a archivos. El lanzamiento de esta nueva herramienta muestra cuán expuestas están las PC a todo tipo de ataques y cómo nunca se debe bajar la guardia cuando se trata de ciberseguridad.
La buena noticia es que podemos estar tranquilos por ahora, ya que la herramienta se creó como prueba de concepto, un ejemplo de “piratería de sombrero blanco” para descubrir vulnerabilidades antes de que lo hagan los actores de amenazas. Además, Leviev entregó sus hallazgos a Microsoft en febrero de 2024 y, con suerte, el gigante del software pronto tendrá las correcciones necesarias.