{"id":765745,"date":"2023-08-10T13:19:25","date_gmt":"2023-08-10T13:19:25","guid":{"rendered":"https:\/\/magazineoffice.com\/defender-pretender-como-los-investigadores-socavaron-la-seguridad-del-malware-de-windows\/"},"modified":"2023-08-10T13:19:30","modified_gmt":"2023-08-10T13:19:30","slug":"defender-pretender-como-los-investigadores-socavaron-la-seguridad-del-malware-de-windows","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/defender-pretender-como-los-investigadores-socavaron-la-seguridad-del-malware-de-windows\/","title":{"rendered":"‘Defender-Pretender’: c\u00f3mo los investigadores socavaron la seguridad del malware de Windows"},"content":{"rendered":"


\n<\/p>\n

\n

LAS VEGAS: lo peor que puede hacer una contramedida de malware es no perder el c\u00f3digo hostil en una computadora: act\u00faa como el malware en s\u00ed mismo. En una sesi\u00f3n informativa en la conferencia de seguridad de Black Hat aqu\u00ed, dos investigadores mostraron c\u00f3mo comprometieron la aplicaci\u00f3n de seguridad de Microsoft Defender tan a fondo que sus acciones resultantes dejaron una copia de Windows que no se pod\u00eda iniciar.<\/p>\n

\u201cLogramos actualizar Defender con una base de datos falsa y sin firmar de un usuario sin privilegios\u201d, resumi\u00f3 Omer Attias, investigador de seguridad de SafeBreach.<\/p>\n

En la charla de hoy y en un resumen publicado posteriormente en el blog de SafeBreach, Attias y el vicepresidente de investigaci\u00f3n de seguridad de SafeBreach, Tomer Bar, explicaron c\u00f3mo aplicaron ingenier\u00eda inversa a los mecanismos de actualizaci\u00f3n de la herramienta de seguridad de Microsoft y luego encontraron una vulnerabilidad que les permiti\u00f3 envenenarlo con datos falsos. <\/p>\n

Despu\u00e9s de una cantidad no trivial de prueba y error, \u00abResult\u00f3 ser bastante m\u00e1s complicado de lo que pens\u00e1bamos\u00bb, dijo Attias, los investigadores descubrieron una forma de eludir las comprobaciones de integridad de la firma digital de Microsoft. El truco consist\u00eda en sobrescribir los campos de validaci\u00f3n en los archivos de base de datos sin cifrar enviados en cada actualizaci\u00f3n de Defender, uno con una lista base de todas las amenazas de malware conocidas y otro que conten\u00eda los cambios m\u00e1s recientes.<\/p>\n

En su primera prueba, usaron la aplicaci\u00f3n \u00abwd-pretender\u00bb que escribieron para eliminar registros en esas bases de datos para una herramienta de recuperaci\u00f3n de contrase\u00f1a llamada LaZagne que Microsoft clasifica como una herramienta de pirater\u00eda. Eso dej\u00f3 a Defender enga\u00f1ado, permiti\u00e9ndoles descargar esa aplicaci\u00f3n sin interrupci\u00f3n.<\/p>\n

Luego, apuntaron a la lista de archivos ejecutables \u00abFriendlyFiles\u00bb de Defender que se sabe que son seguros y sobrescribieron una entrada que conten\u00eda el valor hash para una biblioteca de tiempo de ejecuci\u00f3n utilizada por el software de emulaci\u00f3n VirtualBox de Oracle con el hash para una herramienta de recuperaci\u00f3n de contrase\u00f1a llamada Mimikatz que Defender normalmente bloquea . Resultado: Defender les permiti\u00f3 descargar y ejecutar esa aplicaci\u00f3n.<\/p>\n

El tercer paso fue jugar m\u00e1s con el sistema reescribiendo un registro para que el bot Emotet incluyera una cadena de advertencia de incompatibilidad con el modo DOS que aparece en una amplia variedad de archivos del sistema. Eso convirti\u00f3 a Defender en un atacante de amenazas internas, y su alboroto posterior dej\u00f3 el sistema host muerto. <\/p>\n

\n
\n

Recomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n

\u201cEl sistema operativo ya no se reiniciar\u00e1 y esta computadora est\u00e1 completamente muerta\u201d, dijo Bar.<\/p>\n

Ofreci\u00f3 tres lecciones de este proyecto de investigaci\u00f3n: \u201cPrimero uno, no conf\u00edes en nadie\u201d; \u201cIncluso las herramientas de seguridad m\u00e1s confiables pueden ser utilizadas como lagunas por parte del adversario\u201d; y \u201cLos proveedores de seguridad siempre deben verificar en cualquier paso del proceso que la confianza no se haya roto\u201d. <\/p>\n

SafeBreach revel\u00f3 estos hallazgos a Microsoft, que los investig\u00f3 y confirm\u00f3 r\u00e1pidamente y luego envi\u00f3 una actualizaci\u00f3n de abril a Defender que corrige la vulnerabilidad de validaci\u00f3n (CVE-2023-24934, seg\u00fan consta en la base de datos nacional de vulnerabilidades del gobierno). Entonces, si su PC ha estado recibiendo actualizaciones de Microsoft para Defender autom\u00e1ticamente, este riesgo se elimin\u00f3 antes de que lo supiera.<\/p>\n

\n
\n

\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n

Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n

Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\n