Viene del interior de la casa: subvirtiendo la seguridad profunda en Windows

Me imagino una escena de una película de atracos. El banco se jacta de su nueva y última fuerza de seguridad dentro de las cerraduras, paredes y láseres. Y el equipo del atraco busca formas de subvertir ese sistema. ¿Podemos meter a uno de los nuestros en la fuerza de defensa? ¿Utiliza sobornos o amenazas para comprometer a un guardia? ¿Quizás encontrar un guardia que sea descuidado?

Si bien es mucho más técnico, encontrar una técnica para subvertir el sistema Early Launch Antimalware (ELAM) en Windows, como lo describe el principal investigador de amenazas de Red Canary, Matt Graeber, en su informe de Black Hat, es similar a ese escenario.

Graeber explicó que un controlador ELAM está protegido contra la manipulación y se ejecuta tan temprano en el proceso de arranque que puede evaluar otros controladores durante el arranque, con el potencial de bloquear cualquiera que sea malicioso. “Para crear este controlador, no es necesario implementar ningún código de inicio temprano”, explicó Graeber. “Lo único que necesita es un recurso binario con reglas que digan qué firmantes pueden ejecutar como servicios Antimalware Light. Y tienes que ser miembro de la bastante exclusiva Microsoft Virus Initiative(Se abre en una nueva ventana) programa.»

“Tuve que investigar cómo se implementan las reglas”, dijo Graeber. Luego describió cómo analizó WdBoot.sys de Microsoft Defender para determinar la estructura esperada para estas reglas. En efecto, cada regla dice que cualquier programa firmado con un certificado digital específico puede ejecutarse como un servicio Antimalware Light, lo que le otorga serias protecciones.

No es posible intercambiar un controlador no aprobado, ya que cada uno debe estar aprobado por Microsoft. Y las restricciones antimanipulación significan que es igualmente imposible subvertir un controlador existente. «ELAM es una lista de permitidos para los servicios de Antimalware Light», reflexionó Graber. “¿Qué pasa si es demasiado permisivo? ¿Existe un controlador ELAM que pueda ser demasiado permisivo?”

Una búsqueda agotadora

Graeber se basó en muchos recursos en su búsqueda de un conductor laxo, entre ellos VirusTotal Intelligence. Puede que esté familiarizado con la comprobación de malware gratuita de VirusTotal(Se abre en una nueva ventana), que le permite enviar un archivo o un hash y hacer que lo revisen unos 70 motores antivirus. VirusInteligencia Total(Se abre en una nueva ventana) proporciona un acceso mucho más amplio a información detallada sobre casi todos los archivos y programas existentes.

“Buscando controladores ELAM, obtuve 886 resultados de VirusTotal”, dijo Graeber. “Filtré la lista para validar los resultados y llegué a 766. Identifiqué muchos proveedores con controladores ELAM, algunos de ellos extraños”. Aquí, Graeber mostró una lista que incluía un nombre de proveedor en blanco y varios que parecían incompletos. “Si algunos de los proveedores son extraños, tal vez haya un conjunto de reglas que sea extraño”.

Al final, descubrió cinco certificados de cuatro empresas de seguridad que, como esperaba, proporcionaron una forma de subvertir ELAM. Sin entrar en detalles sobre las cadenas de certificados, determinó que cualquier programa con uno de estos en su cadena de certificados podría ejecutarse en el modo Antimalware Light protegido. Todo lo que tenía que hacer era cruzar una lista de tales programas con la lista de malware de VirusTotal para obtener una galería de programas maliciosos con el potencial de ejecutarse protegido.

¿Cómo armar esta debilidad?

En este punto, la charla salió del extremo técnico profundo. Graeber describió la búsqueda de LOLbins(Se abre en una nueva ventana) para un ejecutable abusable, presentar una versión adecuada de Microsoft Build(Se abre en una nueva ventana), y superando varios obstáculos para permitirle ejecutar código arbitrario. Estoy seguro de que los brillantes programadores de la audiencia asentían con admiración.

Después de una demostración en vivo, Graeber notó la posibilidad de varias cargas útiles. “Su propio malware está protegido y puede eliminar otros procesos protegidos”, dijo. “Destruimos efectivamente el motor de Microsoft Defender en la demostración”. El código es público, aunque Graeber mencionó que «tuve que cambiar algunos nombres de archivo para proteger a los vendedores inocentes».

¿Cómo detectar y mitigar este ataque?

“Esto es abusar de las características de ELAM, no de una vulnerabilidad”, dijo Graeber. “No puedo comenzar a especular por qué se permitiría cualquiera de esos certificados. ¡Qué vergüenza Microsoft! Esperemos una solución sólida en el futuro. Vendedores, no estoy avergonzando a ninguno de ustedes aquí. Ni siquiera culpo a los proveedores por los controladores demasiado permisivos, ya que Microsoft los permitió. Animo a cualquier proveedor a auditar los conjuntos de reglas de sus controladores ELAM firmados. No querrías ser el que arruinó todo el ecosistema”.

Graeber tiene la esperanza de una solución. “Informé esto a Microsoft en diciembre de 2021”, dijo. “Reconocieron el problema y el equipo de Defender realmente se hizo cargo de esto. Se lo tomaron muy en serio y enviaron una notificación a los miembros de Microsoft Virus Initiative. Si eres miembro, ya lo sabes”.

Concluyó ofreciendo recursos para que otros investigadores dupliquen su trabajo. Eso puede sonar como si estuviera poniendo armas en manos de codificadores de malware, pero no temas. Graeber suministró el estructura para una mayor investigación, pero cualquiera que intente usarlo tendrá que duplicar su búsqueda de un conductor permisivo y una carga útil abusable.

Aún así, la imagen de software malicioso que se apodera del búnker seguro que proporciona ELAM y acaba con los programas defensores es alarmante. Esperemos que la comunidad de seguridad, Microsoft en particular, presente una defensa rápidamente.