{"id":27685,"date":"2024-09-09T23:13:11","date_gmt":"2024-09-10T05:13:11","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27685"},"modified":"2024-09-09T23:13:11","modified_gmt":"2024-09-10T05:13:11","slug":"windows-downgrade-downdate-protection","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/windows-downgrade-downdate-protection\/27685\/","title":{"rendered":"C\u00f3mo protegerse contra los ataques de degradaci\u00f3n en Windows"},"content":{"rendered":"

Todas las aplicaciones de software, incluidos los sistemas operativos, contienen vulnerabilidades, por lo que las actualizaciones peri\u00f3dicas para instalar parches son una de las bases fundamentales de la ciberseguridad. Los investigadores que inventaron el ataque de Windows Downdate<\/a> se centraron en este mismo mecanismo de actualizaci\u00f3n, con el objetivo de revertir sigilosamente un sistema Windows completamente actualizado a una versi\u00f3n anterior que contenga archivos y servicios vulnerables. Esto deja al sistema expuesto a vulnerabilidades conocidas y a riesgos de alto nivel, incluidos el hipervisor<\/a> y el kernel seguro. Peor a\u00fan, la actualizaci\u00f3n est\u00e1ndar y las comprobaciones del estado del sistema informar\u00e1n que todo est\u00e1 actualizado y funciona bien.<\/p>\n

Mecanismo de ataque<\/h2>\n

De hecho, los investigadores encontraron dos fallos separados con mecanismos operativos ligeramente diferentes. Una vulnerabilidad, a la que se le asign\u00f3 el ID CVE-2024-21302<\/a> y denominada Downdate, se basa en un fallo en el proceso de instalaci\u00f3n de la actualizaci\u00f3n: los componentes de actualizaci\u00f3n descargados se controlan, se protegen contra modificaciones y se firman digitalmente, pero en una de las etapas intermedias de la instalaci\u00f3n (entre reinicios), el procedimiento de actualizaci\u00f3n crea y luego usa un archivo que contiene una lista de acciones planificadas (pending.xml). Si los atacantes logran crear su propia versi\u00f3n de ese archivo y luego a\u00f1adir la informaci\u00f3n relacionada en el registro, el servicio del Instalador de m\u00f3dulos de Windows (TrustedInstaller)<\/a> ejecutar\u00e1 las instrucciones del archivo al reiniciar.<\/p>\n

De hecho, el contenido del archivo pending.xml se verifica, pero se hace durante las etapas de instalaci\u00f3n anteriores<\/strong>; TrustedInstaller no lo vuelve a verificar. Por supuesto, es imposible escribir lo que quiera en el archivo e instalar archivos arbitrarios de esta manera, ya que deben estar firmados por Microsoft, pero reemplazar los archivos del sistema con otros m\u00e1s antiguos desarrollados por Microsoft es bastante posible. Esto puede volver a exponer el sistema a vulnerabilidades que ya se hab\u00edan corregido con parches hace tiempo, incluidas las vulnerabilidades cr\u00edticas. La adici\u00f3n de las claves necesarias relacionadas con pending.xml en el registro requiere privilegios de administrador, despu\u00e9s de lo cual se debe reiniciar el sistema. Sin embargo, estas son las \u00fanicas limitaciones importantes. Este ataque no requiere privilegios elevados (para los cuales Windows aten\u00faa la pantalla y solicita un permiso adicional al administrador), y la mayor\u00eda de las herramientas de seguridad no marcar\u00e1n las acciones realizadas durante el ataque como sospechosas.<\/p>\n

La segunda vulnerabilidad, CVE-2024-38202<\/a>, le permite a un actor manipular la carpeta Windows.old, donde el sistema de actualizaci\u00f3n almacena la instalaci\u00f3n anterior de Windows. Aunque la modificaci\u00f3n de archivos en esta carpeta requiere privilegios especiales, un atacante con derechos de usuario regulares puede cambiar el nombre de la carpeta, crear una nueva carpeta Windows.old desde cero y colocar all\u00ed versiones obsoletas y vulnerables de los archivos del sistema Windows. Al iniciar una restauraci\u00f3n del sistema, Windows vuelve a la instalaci\u00f3n vulnerable. Se requieren determinados privilegios para la restauraci\u00f3n del sistema, pero no son privilegios de administrador y, a veces, se otorgan a usuarios habituales.<\/p>\n

Anulaci\u00f3n de VBS y robo de contrase\u00f1as<\/h2>\n

Desde 2015, la arquitectura de Windows se ha redise\u00f1ado para evitar que una vulneraci\u00f3n del kernel de Windows ponga en peligro a todo el sistema. Esto implica una variedad de medidas conocidas colectivamente como seguridad basada en virtualizaci\u00f3n (VBS)<\/a>. Entre otras cosas, el hipervisor del sistema se utiliza para aislar los componentes del sistema operativo y crear un kernel seguro para realizar las operaciones m\u00e1s confidenciales, almacenar contrase\u00f1as, etc.<\/p>\n

Para evitar que los atacantes desactiven la VBS, Windows puede configurarse para que esto sea imposible, incluso con derechos de administrador. La \u00fanica forma de desactivar esta protecci\u00f3n es reiniciando el ordenador en un modo especial e introduciendo un comando de teclado. Esta funci\u00f3n se denomina bloqueo de la Interfaz de firmware extensible unificada (UEFI). El ataque de Windows Downdate tambi\u00e9n evita esta restricci\u00f3n al reemplazar los archivos con versiones modificadas, desactualizadas y vulnerables. La VBS no comprueba el estado de actualizaci\u00f3n de los archivos del sistema, por lo que pueden sustituirse por versiones m\u00e1s antiguas y vulnerables sin signos detectables ni mensajes de error. Es decir, t\u00e9cnicamente la VBS no est\u00e1 desactivada, pero ya no realiza su funci\u00f3n de seguridad.<\/p>\n

Este ataque permite la sustituci\u00f3n de archivos de kernel seguro y de hipervisor con versiones de dos a\u00f1os de antig\u00fcedad que contienen varias vulnerabilidades cuyo aprovechamiento conduce a la obtenci\u00f3n de privilegios. Como resultado, los atacantes pueden obtener los privilegios m\u00e1ximos del sistema, acceso total al hipervisor y a los procesos de protecci\u00f3n de la memoria, y la capacidad de leer f\u00e1cilmente credenciales, hashes de contrase\u00f1as y tambi\u00e9n hashes NTLM<\/a> de la memoria (que se pueden usar para expandir el ataque de red).<\/p>\n

Protecci\u00f3n contra Downdate<\/h2>\n

En febrero de 2024 se inform\u00f3 a Microsoft de las vulnerabilidades de Downdate, pero no fue hasta agosto cuando se publicaron los detalles como parte de su implementaci\u00f3n mensual de parches de Patch Tuesday. Corregir los errores result\u00f3 ser una tarea dif\u00edcil y plagada de efectos secundarios, incluido el bloqueo de algunos sistemas Windows. Por lo tanto, en lugar de apresurarse a publicar otro parche, Microsoft por ahora simplemente ha emitido algunos consejos para mitigar los riesgos. Estos incluyen los siguientes:<\/p>\n