LAS VEGAS: lo peor que puede hacer una contramedida de malware es no perder el código hostil en una computadora: actúa como el malware en sí mismo. En una sesión informativa en la conferencia de seguridad de Black Hat aquí, dos investigadores mostraron cómo comprometieron la aplicación de seguridad de Microsoft Defender tan a fondo que sus acciones resultantes dejaron una copia de Windows que no se podía iniciar.
“Logramos actualizar Defender con una base de datos falsa y sin firmar de un usuario sin privilegios”, resumió Omer Attias, investigador de seguridad de SafeBreach.
En la charla de hoy y en un resumen publicado posteriormente en el blog de SafeBreach, Attias y el vicepresidente de investigación de seguridad de SafeBreach, Tomer Bar, explicaron cómo aplicaron ingeniería inversa a los mecanismos de actualización de la herramienta de seguridad de Microsoft y luego encontraron una vulnerabilidad que les permitió envenenarlo con datos falsos.
Después de una cantidad no trivial de prueba y error, «Resultó ser bastante más complicado de lo que pensábamos», dijo Attias, los investigadores descubrieron una forma de eludir las comprobaciones de integridad de la firma digital de Microsoft. El truco consistía en sobrescribir los campos de validación en los archivos de base de datos sin cifrar enviados en cada actualización de Defender, uno con una lista base de todas las amenazas de malware conocidas y otro que contenía los cambios más recientes.
En su primera prueba, usaron la aplicación «wd-pretender» que escribieron para eliminar registros en esas bases de datos para una herramienta de recuperación de contraseña llamada LaZagne que Microsoft clasifica como una herramienta de piratería. Eso dejó a Defender engañado, permitiéndoles descargar esa aplicación sin interrupción.
Luego, apuntaron a la lista de archivos ejecutables «FriendlyFiles» de Defender que se sabe que son seguros y sobrescribieron una entrada que contenía el valor hash para una biblioteca de tiempo de ejecución utilizada por el software de emulación VirtualBox de Oracle con el hash para una herramienta de recuperación de contraseña llamada Mimikatz que Defender normalmente bloquea . Resultado: Defender les permitió descargar y ejecutar esa aplicación.
El tercer paso fue jugar más con el sistema reescribiendo un registro para que el bot Emotet incluyera una cadena de advertencia de incompatibilidad con el modo DOS que aparece en una amplia variedad de archivos del sistema. Eso convirtió a Defender en un atacante de amenazas internas, y su alboroto posterior dejó el sistema host muerto.
Recomendado por Nuestros Editores
“El sistema operativo ya no se reiniciará y esta computadora está completamente muerta”, dijo Bar.
Ofreció tres lecciones de este proyecto de investigación: “Primero uno, no confíes en nadie”; “Incluso las herramientas de seguridad más confiables pueden ser utilizadas como lagunas por parte del adversario”; y “Los proveedores de seguridad siempre deben verificar en cualquier paso del proceso que la confianza no se haya roto”.
SafeBreach reveló estos hallazgos a Microsoft, que los investigó y confirmó rápidamente y luego envió una actualización de abril a Defender que corrige la vulnerabilidad de validación (CVE-2023-24934, según consta en la base de datos nacional de vulnerabilidades del gobierno). Entonces, si su PC ha estado recibiendo actualizaciones de Microsoft para Defender automáticamente, este riesgo se eliminó antes de que lo supiera.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.