La seguridad en el kernel de Windows ha sido ampliamente mejorada en los últimos años, pero una nueva vulnerabilidad descubierta permite a los atacantes degradar componentes del sistema para evadir funciones de seguridad y cargar rootkits en equipos aparentemente seguros y completamente actualizados.
Este tipo de ataque, presentado recientemente en conferencias de seguridad como BlackHat y DEFCON, revela la complejidad de proteger el núcleo de Windows en un entorno cada vez más sofisticado.
¿En Qué Consiste la Vulnerabilidad en el Kernel de Windows?
La vulnerabilidad se centra en una técnica llamada degradación de componentes del kernel, que permite a un atacante aprovechar el proceso de actualización de Windows para revertir archivos clave del sistema a versiones obsoletas y vulnerables.
Esto se realiza en el sistema operativo sin afectar el estado de «completamente parcheado» que Windows muestra al usuario. Alon Leviev, investigador de SafeBreach, demostró que este ataque permite explotar el kernel de Windows sin ser detectado, aunque Microsoft ha afirmado que el método no atraviesa un «límite de seguridad» formal.
El Rol de la API Driver Signature Enforcement (DSE)
Una de las funciones clave que se elude en este tipo de ataques es la API Driver Signature Enforcement (DSE), encargada de asegurar que solo se carguen controladores firmados y verificados en el sistema.
Sin embargo, al reemplazar un archivo crítico como ci.dll con una versión vulnerable sin parche, el sistema queda expuesto a controladores no firmados, que podrían ser aprovechados por los atacantes para cargar rootkits y malware en el kernel sin restricciones.
¿Cómo Funciona el Ataque de Degradación?
La técnica desarrollada por Leviev consiste en reemplazar componentes del sistema como ci.dll justo después de que el sistema comience a verificar su última versión.
Este «momento de carrera» o race condition permite que el archivo obsoleto se cargue en memoria, eludiendo los controles de seguridad de DSE y permitiendo así la carga de software malicioso directamente en el kernel. Esto compromete la integridad de la máquina, aunque esta se muestre como «totalmente parcheada».
Leviev ha diseñado una herramienta llamada Windows Downdate para exponer los riesgos de estos ataques, demostrando que es posible recrear una versión del sistema aparentemente segura pero vulnerable, lo cual anula la idea de que un equipo esté realmente protegido al estar actualizado.
¿Por Qué Microsoft No Ha Corregido la Vulnerabilidad?
Aunque Microsoft ha implementado parches en el kernel para mitigar problemas similares, ha decidido no corregir esta vulnerabilidad en particular, argumentando que no atraviesa un «límite de seguridad» esencial.
Según Microsoft, solo los ataques que cruzan fronteras de seguridad críticas se consideran una amenaza significativa. Sin embargo, Leviev advierte que esta decisión podría permitir que los atacantes sigan utilizando esta técnica de degradación para comprometer sistemas de forma efectiva y sin ser detectados.
Posibilidades de Ataques en Windows 11 y Seguridad Basada en Virtualización (VBS)
La investigación también muestra que incluso en Windows 11, los atacantes pueden eludir la Seguridad Basada en Virtualización (VBS) al reemplazar archivos esenciales como SecureKernel.exe.
Cuando VBS no se configura con la máxima seguridad, estos archivos pueden ser manipulados, permitiendo al atacante acceder a áreas críticas del sistema. Con esto, se abren puertas para ataques más profundos y complejos, afectando el núcleo de la integridad de la máquina….