Windows Update puede ser ocasionalmente contraproducente con parches defectuosos, pero en su mayor parte, está destinado a mantenernos a salvo de las últimas amenazas. Microsoft lanza regularmente nuevos parches que abordan posibles vulnerabilidades. Pero, ¿qué pasaría si hubiera una herramienta que pudiera deshacer cada actualización de Windows y dejar su PC expuesta a todas las amenazas que Microsoft pensó que ya había solucionado? Malas noticias: ahora existe una herramienta de este tipo, y se llama Windows Downdate.
Pero no te preocupes. Está a salvo de la fecha de caída de Windows, al menos por ahora. La herramienta fue desarrollada como una prueba de concepto por el investigador de SafeBreach, Alon Leviev, y aunque su potencial es nada menos que aterrador, se hizo de buena fe como un ejemplo de algo llamado «hacking de sombrero blanco», donde los investigadores intentan encontrar vulnerabilidades antes de que los actores de amenazas maliciosas puedan hacerlo primero.
En el caso de Windows Downdate, si esto cayera en las manos equivocadas, el impacto podría ser asombroso. El exploit se basa en una falla en Windows Update para instalar actualizaciones anteriores donde ciertas vulnerabilidades aún no se han parcheado. Leviev utilizó la herramienta para degradar bibliotecas de enlaces dinámicos (DLL), controladores e incluso el kernel NT, que es un componente central de Windows. Esto se logra sin pasar por todas las verificaciones, y el resultado es completamente invisible e irreversible.
«Pude hacer que una máquina Windows completamente parcheada fuera susceptible a miles de vulnerabilidades pasadas, convirtiendo las vulnerabilidades corregidas en días cero y haciendo que el término ‘completamente parcheado’ no tenga sentido en ninguna máquina Windows en el mundo», dijo Leviev en una publicación de SafeBreach. «Después de estas degradaciones, el sistema operativo informó que estaba completamente actualizado y no pudo instalar actualizaciones futuras. mientras que las herramientas de recuperación y escaneo no pudieron detectar problemas».
Leviev también descubrió que toda la pila de virtualización en Windows también era susceptible a este exploit; el investigador logró degradar el proceso de modo de usuario aislado de Credential Guard, el hipervisor de Hyper-V y el kernel seguro. Leviev incluso encontró «múltiples formas» de desactivar la seguridad basada en virtualización (VBS) en Windows, y esto aún era posible incluso cuando se aplicaban bloqueos UEFI.
«Que yo sepa, esta es la primera vez que se han omitido los bloqueos UEFI de VBS sin acceso físico», dijo Leviev.
Windows Downdate puede esencialmente deshacer todos los parches de seguridad jamás creados, y luego engañar a la PC para que piense que todo está bien, ya que la expone sigilosamente a cientos de amenazas diferentes. Una herramienta como esta podría causar serios estragos en cualquier sistema operativo, y Leviev sospecha que otros sistemas operativos, como MacOS y Linux, también podrían estar en riesgo.
La buena noticia es que Leviev tenía la intención de proteger a los usuarios de Windows de una herramienta como esta, y el investigador informó de sus hallazgos a Microsoft en febrero de 2024. Microsoft emitió dos CVE en respuesta (CVE-2024-21302 y CVE-2024-38202) y parece estar trabajando arduamente para corregir esta vulnerabilidad. Esperemos que Microsoft sea más rápido para parchear este exploit que los piratas informáticos no éticos para usarlo en su propio beneficio.
