Componentes del núcleo de Windows pueden instalarse para eludir sistemas de defensa.

Investigadores han descubierto un método que permite a los ciberdelincuentes eludir las características de seguridad de Windows, como la Aplicación de Firma de Controladores (DSE), lo que les facilita la instalación de rootkits en sistemas que están completamente actualizados. Un informe elaborado por el investigador de ciberseguridad Alon Leviev, de SafeBreach, indica que este ataque se puede llevar a cabo degradando ciertos componentes del núcleo de Windows.

Los delincuentes pueden aprovechar el proceso de actualización de Windows para introducir componentes de software obsoletos y vulnerables, haciendo que un sistema parezca "completamente parcheado" a pesar de que no lo esté. Este método también es aplicable a dispositivos con Windows 11 que han recibido actualizaciones completas.

El investigador ha reportado esta vulnerabilidad a Microsoft, sin embargo, la empresa no abordó el problema al considerar que no se había roto un "límite de seguridad", ya que un atacante necesitaría acceso de administrador en primer lugar. Leviev presentó su demostración en los eventos Black Hat y DEF CON 2024, donde compartió una herramienta llamada Windows Downdate, que permite crear degradaciones que reabren antiguas vulnerabilidades.

Leviev reportó que fue capaz de degradar componentes corregidos en Windows 11, lo que restauró la posibilidad de eludir el DSE y habilitó el uso de controladores no firmados. Esto le permitió instalar rootkits que pueden desactivar el software de seguridad, ocultar actividades maliciosas, entre otras acciones.

En su ataque, reemplazó un archivo clave de Windows denominado ci.dll con una versión no parcheada. Después de realizar este reemplazo, el sistema requiere un reinicio, lo que da la apariencia de una actualización normal. Además, también mostró métodos para deshabilitar o eludir la Seguridad Basada en Virtualización (VBS) al modificar configuraciones y archivos específicos, debilitando aún más la protección del sistema.

Actualmente, Microsoft está trabajando en una solución para bloquear archivos del sistema obsoletos y prevenir ataques de degradación, aunque no se ha establecido una fecha de lanzamiento, ya que protegerse contra estas vulnerabilidades requiere pruebas cuidadosas para evitar interrupciones en el sistema. Mientras tanto, Leviev aconseja a las organizaciones que estén atentas a estos ataques de degradación.