Encuentran una inquietante vulnerabilidad “downgrade” capaz de revertir las actualizaciones de seguridad de Windows
Un reciente descubrimiento en el mundo de la ciberseguridad revela un alarmante ataque que puede revertir las actualizaciones de Windows, dejando los sistemas expuestos a antiguas vulnerabilidades.
Un investigador de seguridad ha revelado una nueva amenaza cibernética conocida como “ataque downgrade” o “ataque de degradación”, que pone en peligro la seguridad de los sistemas Windows al revertir actualizaciones críticas, según explican en Bleepingcomputer
Este ataque, denominado “Windows Downdate”, permite a los ciberdelincuentes retroceder versiones del sistema operativo, reintroduciendo fallos y vulnerabilidades que ya habían sido corregidos.
Como resultado, los dispositivos que deberían estar completamente protegidos quedan expuestos, sin que los usuarios o herramientas de seguridad lo detecten fácilmente.
¿Qué es el ataque de degradación en Windows y cómo funciona?
Este preocupante descubrimiento fue realizado por Alon Leviev, un investigador de la empresa de seguridad SafeBreach, quien detectó dos vulnerabilidades de “día cero” en Windows 10, 11 y Windows Server.
Según el investigador, estos fallos permiten a los atacantes obligar a los dispositivos a utilizar versiones antiguas del sistema operativo, dejando a los usuarios en un estado vulnerable. Lo más alarmante es que, a pesar de la degradación, el sistema sigue mostrando que está completamente actualizado, engañando a los usuarios y dificultando la detección de la amenaza.
El origen de este ataque se remonta al descubrimiento del kit de arranque UEFI BlackLotus en 2023. Este malware tenía la capacidad de degradar el Administrador de Arranque de Windows, eludiendo así las medidas de seguridad como el arranque seguro.
Sin embargo, decidió investigar más a fondo y descubrió que el proceso de actualización de Windows también podía ser explotado para degradar componentes críticos del sistema operativo, incluyendo bibliotecas DLL y el núcleo NT. Este hallazgo amplía significativamente el alcance de la amenaza, afectando a todas las versiones modernas de Windows.
Consecuencias y medidas de seguridad para proteger tu sistema Windows
El impacto de este ataque es significativo, ya que permite que vulnerabilidades corregidas en el pasado vuelvan a ser explotadas, haciendo que el concepto de un sistema “completamente parcheado” pierda su validez.
Señala que este es el primer método conocido para eludir la seguridad basada en virtualización (VBS) sin necesidad de acceso físico al dispositivo, lo que aumenta aún más la preocupación.
Leviev informó a Microsoft de este problema en febrero de 2024, dándoles un plazo de seis meses para abordar la vulnerabilidad antes de hacerla pública en la conferencia Black Hat 2024.
En respuesta, Microsoft identificó las fallas como la “Vulnerabilidad de escalada de privilegios de la pila de Windows Update (CVE-2024-38202)” y la “Vulnerabilidad de escalada de privilegios del modo kernel seguro de Windows (CVE-2024-21302)”, y las hizo públicas para alertar a la comunidad de seguridad.
Microsoft ha asegurado que hasta la fecha no han detectado intentos de explotar estas vulnerabilidades, pero la compañía está trabajando en una actualización para deshabilitar los archivos antiguos del sistema VBS, que son el objetivo principal del ataque de degradación.
Mientras tanto, Windows seguirá siendo vulnerable a este tipo de ataques, lo que subraya la importancia de mantener una vigilancia constante y estar al tanto de las actualizaciones de seguridad.
La compañía agradeció el trabajo de SafeBreach en la identificación de esta amenaza y aseguró que están realizando un proceso exhaustivo que incluye investigaciones, desarrollo de actualizaciones para todas las versiones afectadas, y pruebas de compatibilidad. Además, Microsoft está desarrollando mitigaciones adicionales para proteger a los usuarios de este riesgo.