El investigador de seguridad Alon Leviev (SafeBreach) recientemente reveló que dos vulnerabilidades de día cero (CVE-2024-38202 y CVE-2024-21302) podrían ser explotadas en ataques de degradación para “desactualizar” sistemas completamente actualizados de Windows 10, Windows 11 y Windows Server, reintroduciendo vulnerabilidades antiguas. Estos hallazgos fueron presentados en las conferencias Black Hat USA 2024 y DEF CON 32.
En concreto, se descubrió que el proceso de actualización de Windows podría ser comprometido para degradar componentes críticos del sistema operativo, incluyendo bibliotecas de enlace dinámico (DLL) y el kernel NT. Aunque todos estos componentes estaban desactualizados, al verificar con Windows Update, el sistema operativo informaba que estaba completamente actualizado, y las herramientas de recuperación y escaneo no podían detectar ningún problema.
Según lo manifestado por Leviev, hay múltiples formas de desactivar la seguridad basada en virtualización (VBS) de Windows, incluyendo sus características como Credential Guard y la integridad del código protegido por el hipervisor (HVCI), incluso cuando se aplican bloqueos UEFI. Entre otras cosas, también destacó el carácter indetectable e invisible de este tipo de ataques.
Es importante remarcar que la investigación se presentó seis meses después de haber reportado las vulnerabilidades a Microsoft (febrero), como parte de un proceso de divulgación responsable coordinada. Por su parte, la firma dijo que actualmente no tiene conocimiento de ningún intento de explotar esta vulnerabilidad en el entorno real y recomendó implementar las recomendaciones compartidas en dos avisos de seguridad para ayudar a reducir el riesgo de explotación hasta que se publique una actualización de seguridad.
Resumen de información técnica:
- CVE-2024-38202 . Windows Update Stack Elevation of Privilege Vulnerability. CVSS score: 7.3
- CVE-2024-21302. Windows Secure Kernel Mode Elevation of Privilege Vulnerability. CVSS score: 6.7
Avisos de seguridad y recomendaciones
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
Fuentes:
Windows Update downgrade attack «unpatches» fully-updated systems
Windows Downgrade Attack Risks Exposing Patched Systems to Old Vulnerabilities
*Nota: Imagen generada con herramientas de inteligencia artificial.
Ciberprisma - alianza por la ciberseguridad 