\n<\/p>\n
Me imagino una escena de una pel\u00edcula de atracos. El banco se jacta de su nueva y \u00faltima fuerza de seguridad dentro de las cerraduras, paredes y l\u00e1seres. Y el equipo del atraco busca formas de subvertir ese sistema. \u00bfPodemos meter a uno de los nuestros en la fuerza de defensa? \u00bfUtiliza sobornos o amenazas para comprometer a un guardia? \u00bfQuiz\u00e1s encontrar un guardia que sea descuidado?<\/p>\n
Si bien es mucho m\u00e1s t\u00e9cnico, encontrar una t\u00e9cnica para subvertir el sistema Early Launch Antimalware (ELAM) en Windows, como lo describe el principal investigador de amenazas de Red Canary, Matt Graeber, en su informe de Black Hat, es similar a ese escenario.<\/p>\n
Graeber explic\u00f3 que un controlador ELAM est\u00e1 protegido contra la manipulaci\u00f3n y se ejecuta tan temprano en el proceso de arranque que puede evaluar otros controladores durante el arranque, con el potencial de bloquear cualquiera que sea malicioso. \u201cPara crear este controlador, no es necesario implementar ning\u00fan c\u00f3digo de inicio temprano\u201d, explic\u00f3 Graeber. \u201cLo \u00fanico que necesita es un recurso binario con reglas que digan qu\u00e9 firmantes pueden ejecutar como servicios Antimalware Light. Y tienes que ser miembro de la bastante exclusiva Microsoft Virus Initiative(Se abre en una nueva ventana)<\/span> programa.\u00bb<\/p>\n \u201cTuve que investigar c\u00f3mo se implementan las reglas\u201d, dijo Graeber. Luego describi\u00f3 c\u00f3mo analiz\u00f3 WdBoot.sys de Microsoft Defender para determinar la estructura esperada para estas reglas. En efecto, cada regla dice que cualquier programa firmado con un certificado digital espec\u00edfico puede ejecutarse como un servicio Antimalware Light, lo que le otorga serias protecciones.<\/p>\n No es posible intercambiar un controlador no aprobado, ya que cada uno debe estar aprobado por Microsoft. Y las restricciones antimanipulaci\u00f3n significan que es igualmente imposible subvertir un controlador existente. \u00abELAM es una lista de permitidos para los servicios de Antimalware Light\u00bb, reflexion\u00f3 Graber. \u201c\u00bfQu\u00e9 pasa si es demasiado permisivo? \u00bfExiste un controlador ELAM que pueda ser demasiado permisivo?\u201d<\/p>\n Graeber se bas\u00f3 en muchos recursos en su b\u00fasqueda de un conductor laxo, entre ellos VirusTotal Intelligence. Puede que est\u00e9 familiarizado con la comprobaci\u00f3n de malware gratuita de VirusTotal(Se abre en una nueva ventana)<\/span>, que le permite enviar un archivo o un hash y hacer que lo revisen unos 70 motores antivirus. VirusInteligencia Total(Se abre en una nueva ventana)<\/span> proporciona un acceso mucho m\u00e1s amplio a informaci\u00f3n detallada sobre casi todos los archivos y programas existentes.<\/p>\n \u201cBuscando controladores ELAM, obtuve 886 resultados de VirusTotal\u201d, dijo Graeber. \u201cFiltr\u00e9 la lista para validar los resultados y llegu\u00e9 a 766. Identifiqu\u00e9 muchos proveedores con controladores ELAM, algunos de ellos extra\u00f1os\u201d. Aqu\u00ed, Graeber mostr\u00f3 una lista que inclu\u00eda un nombre de proveedor en blanco y varios que parec\u00edan incompletos. \u201cSi algunos de los proveedores son extra\u00f1os, tal vez haya un conjunto de reglas que sea extra\u00f1o\u201d.<\/p>\n Al final, descubri\u00f3 cinco certificados de cuatro empresas de seguridad que, como esperaba, proporcionaron una forma de subvertir ELAM. Sin entrar en detalles sobre las cadenas de certificados, determin\u00f3 que cualquier programa con uno de estos en su cadena de certificados podr\u00eda ejecutarse en el modo Antimalware Light protegido. Todo lo que ten\u00eda que hacer era cruzar una lista de tales programas con la lista de malware de VirusTotal para obtener una galer\u00eda de programas maliciosos con el potencial de ejecutarse protegido.<\/p>\n En este punto, la charla sali\u00f3 del extremo t\u00e9cnico profundo. Graeber describi\u00f3 la b\u00fasqueda de LOLbins(Se abre en una nueva ventana)<\/span> para un ejecutable abusable, presentar una versi\u00f3n adecuada de Microsoft Build(Se abre en una nueva ventana)<\/span>, y superando varios obst\u00e1culos para permitirle ejecutar c\u00f3digo arbitrario. Estoy seguro de que los brillantes programadores de la audiencia asent\u00edan con admiraci\u00f3n.<\/p>\n Despu\u00e9s de una demostraci\u00f3n en vivo, Graeber not\u00f3 la posibilidad de varias cargas \u00fatiles. \u201cSu propio malware est\u00e1 protegido y puede eliminar otros procesos protegidos\u201d, dijo. \u201cDestruimos efectivamente el motor de Microsoft Defender en la demostraci\u00f3n\u201d. El c\u00f3digo es p\u00fablico, aunque Graeber mencion\u00f3 que \u00abtuve que cambiar algunos nombres de archivo para proteger a los vendedores inocentes\u00bb.<\/p>\n \u201cEsto es abusar de las caracter\u00edsticas de ELAM, no de una vulnerabilidad\u201d, dijo Graeber. \u201cNo puedo comenzar a especular por qu\u00e9 se permitir\u00eda cualquiera de esos certificados. \u00a1Qu\u00e9 verg\u00fcenza Microsoft! Esperemos una soluci\u00f3n s\u00f3lida en el futuro. Vendedores, no estoy avergonzando a ninguno de ustedes aqu\u00ed. Ni siquiera culpo a los proveedores por los controladores demasiado permisivos, ya que Microsoft los permiti\u00f3. Animo a cualquier proveedor a auditar los conjuntos de reglas de sus controladores ELAM firmados. No querr\u00edas ser el que arruin\u00f3 todo el ecosistema\u201d.<\/p>\n Graeber tiene la esperanza de una soluci\u00f3n. \u201cInform\u00e9 esto a Microsoft en diciembre de 2021\u201d, dijo. \u201cReconocieron el problema y el equipo de Defender realmente se hizo cargo de esto. Se lo tomaron muy en serio y enviaron una notificaci\u00f3n a los miembros de Microsoft Virus Initiative. Si eres miembro, ya lo sabes\u201d.<\/p>\n Concluy\u00f3 ofreciendo recursos para que otros investigadores dupliquen su trabajo. Eso puede sonar como si estuviera poniendo armas en manos de codificadores de malware, pero no temas. Graeber suministr\u00f3 el estructura<\/em> para una mayor investigaci\u00f3n, pero cualquiera que intente usarlo tendr\u00e1 que duplicar su b\u00fasqueda de un conductor permisivo y una carga \u00fatil abusable.<\/p>\n A\u00fan as\u00ed, la imagen de software malicioso que se apodera del b\u00fanker seguro que proporciona ELAM y acaba con los programas defensores es alarmante. Esperemos que la comunidad de seguridad, Microsoft en particular, presente una defensa r\u00e1pidamente.<\/p>\n Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\nUna b\u00fasqueda agotadora<\/h2>\n
\u00bfC\u00f3mo armar esta debilidad?<\/h2>\n
Recomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n
\u00bfC\u00f3mo detectar y mitigar este ataque?<\/h2>\n
\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n