Los parches de seguridad para Windows son esenciales para mantener su PC a salvo de las amenazas en desarrollo. Pero los ataques de degradación son una forma de eludir los parches de Microsoft, y un investigador de seguridad se propuso demostrar lo fatales que pueden ser.
El investigador de seguridad de SafeBreach, Alon Leviev, mencionó en una publicación de blog de la compañía que habían creado algo llamado la herramienta Windows Downdate como prueba de concepto. La herramienta crea degradaciones persistentes e irreversibles en sistemas Windows Server y componentes de Windows 10 y 11.
Leviev explica que su herramienta (y amenazas similares) realiza un ataque de reversión de versiones, «diseñado para revertir un software inmune y completamente actualizado a una versión anterior. Permiten a los actores maliciosos exponer y explotar vulnerabilidades previamente corregidas/parcheadas para comprometer los sistemas y obtener acceso no autorizado».
También menciona que puede usar la herramienta para exponer la PC a vulnerabilidades más antiguas originadas en controladores, DLL, Secure Kernel, NT Kernel, Hypervisor y más. Leviev continuó publicando lo siguiente en X (anteriormente Twitter): «Además de las degradaciones personalizadas, Windows Downdate proporciona ejemplos de uso fáciles de usar para revertir parches para CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 y PPLFault, así como ejemplos para degradar el hipervisor, el kernel y eludir los bloqueos UEFI de VBS».
If you have not checked it out yet, Windows Downdate tool is live! You can use it to take over Windows Updates to downgrade and expose past vulnerabilities sourced in DLLs, drivers, the NT kernel, the Secure Kernel, the Hypervisor, IUM trustlets and more!https://t.co/59DRIvq6PZ
— Alon Leviev (@_0xDeku) August 25, 2024
Lo que también es preocupante es que la herramienta es indetectable porque no puede ser bloqueada por las soluciones de detección y respuesta de endpoints (EDR), y su computadora con Windows continuará diciéndole que está actualizada aunque no lo esté. También descubrió varias formas de desactivar la seguridad basada en virtualización (VBS) de Windows, incluida la integridad del código protegido por hipervisor (HVCI) y Credential Guard.
Microsoft lanzó una actualización de seguridad (KB5041773) el 7 de agosto para corregir la falla de escalada de privilegios CVE-2024-21302 Windows Secure Kernel Mode y un parche para CVE-2024-38202. Microsoft también ha publicado algunos consejos que los usuarios de Windows pueden seguir para mantenerse seguros, como configurar los ajustes de «Auditar acceso a objetos» para buscar intentos de acceso a archivos. El lanzamiento de esta nueva herramienta demuestra lo expuestos que están los PC a todo tipo de ataques y cómo nunca se debe bajar la guardia cuando se trata de ciberseguridad.
La buena noticia es que podemos estar tranquilos por ahora, ya que la herramienta se creó como una prueba de concepto, un ejemplo de «hacking de sombrero blanco» para descubrir vulnerabilidades antes de que lo hagan los actores de amenazas. Además, Leviev entregó sus hallazgos a Microsoft en febrero de 2024 y, con suerte, el gigante del software tendrá pronto las correcciones necesarias.
