Windows 10 roto.
Microsoft expuso a todos sus usuarios al abandonar 3 años un sistema de seguridad
Ingenieros de seguridad han descubierto que es posible saltarse ciertas medidas de seguridad de Windows para inyectar malware.
17 octubre, 2022 11:47En los últimos años, hemos podido ver desde España cómo se han gestado ciertos problemas de ciberseguridad en sistemas de Microsoft. Dado que Windows es su sistema operativo principal y sin duda algunas uno de los más usados en el mundo, sus fallos pueden suponer la exposición de millones de usuarios a nivel internacional. Un nuevo reporte afirma que Microsoft habría fallado en proteger a los usuarios.
[Virus por correo ordinario: mandan un pendrive infectado en nombre de Microsoft]
Según adelanta Ars Technica, Microsoft no ha llevado a cabo de forma correcta un sistema de protección ante fallos de controladores durante tres años dejando a los usuarios de Windows expuestos ante infecciones de malware o software malicioso. Infecciones que, además, habrían sido activamente explotadas.
Todo ello tiene que ver con una lista de bloqueo o blocklists embebida en Windows Update que añade los nuevos controladores del sistema para evitar que estos puedan inyectar malware en el kernel del sistema. Más concretamente, para evitar una técnica de inyección de malware llamada BYOVD. Ars Technica asegura que esto no estaba sucediendo.
Fallo de Microsoft
Los controladores o drivers se constituyen como el software que usa el sistema operativo para comunicarse con los dispositivos de hardware externos a tu ordenador, como serían impresoras, webcams o tarjetas gráficas. Estos controladores pueden acceder al kernel del sistema operativo, es decir, prácticamente al núcleo del mismo.
Por ello, Microsoft necesita que los drivers estén firmados de forma digital, certificando que son seguros para cargarse en el sistema. Si un controlador tiene un agujero de seguridad, los hackers pueden acceder al kernel directamente explotándolo consiguiendo control completo sobre el ordenador de la víctima.
The Microsoft recommended driver block rules page states that the driver block list "is applied to" HVCI-enabled devices.
— Will Dormann (@wdormann) September 16, 2022
Yet here is an HVCI-enabled system, and one of the drivers in the block list (WinRing0) is happily loaded.
I don't believe the docs.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy
Para ello, Microsoft usa el HVIC, o Hypervisor-protected Code Integrity que, en teoría, protege al sistema contra controladores maliciosos, y que además viene habilitado de forma predeterminada en varios dispositivos Windows, incluido los Surface. Ars Technica, junto a Will Dormann, analista sénior de vulnerabilidades de la empresa Analygence, descubrieron que este sistema no funcionaba como debería, incluso con la blocklist activa.
En un hilo de Twitter, Dormann asegura que tuvo éxito al cargar un controlador malicioso en un dispositivo con HVCI, a pesar de que dicho driver estuviera incluido en la lista de bloqueo de Windows Update. Más tarde descubrió que la blocklist llevaba sin actualizarse desde 2019, es decir, hace tres años, y que las funciones ASR o Attack Surface Reduction de Windows tampoco eran suficientes para realizar la protección.
Windows actualizando.
De esta forma, los dispositivos con HVCI han estado desprotegidos durante todo este tiempo, y que cualquier hacker podría cargar controladores maliciosos en sistemas Windows sin que estas medidas de seguridad pudieran hacer su labor. Y no es por falta de antecedentes; existen muchos casos de ataques hacker usando la técnica BYOVD, que se basa precisamente en esta técnica.
Ars Technica recoge el caso de Lazarus, un grupo de hackers norcoreano que realizó un ataque BYOVD contra un ingeniero aeroespacial en Países Bajos. Otro consistió en un ataque de vulnerabilidad en los controladores anti-cheat (para evitar trampas) en el videojuego Genshin Impact. Es decir, que es una técnica de hackeo ampliamente usada.
Thanks for all the feedback. We have updated the online docs and added a download with instructions to apply the binary version directly. We're also fixing the issues with our servicing process which has prevented devices from receiving updates to the policy.
— Jeffrey Sutherland (@j3ffr3y1974) October 6, 2022
Microsoft en un principio ha mostrado cierta indiferencia ante las afirmaciones de Dormann y de Ars Technica, pero posteriormente ha cedido. Según explican representantes de la compañía, han corregido el problema. "La lista de controladores vulnerables se actualiza regularmente. Sin embargo, recibimos comentarios de que ha habido una brecha en la sincronización entre las versiones del sistema operativo. Hemos corregido esto y se reparará en las próximas y futuras actualizaciones de Windows", sin especificar tiempos completos.
