En el último año y medio, los atacantes han explotado al menos cinco vulnerabilidades, incluidas cuatro de día cero, en un controlador sensible de Windows a nivel de kernel.
Una serie de informes publicado por Securelist de Kaspersky esta semana expone no sólo un puñado de errores, sino un problema más grande y sistémico en la implementación actual del Sistema de archivos de registro común de Windows (CLFS).
CLFS es un sistema de registro de propósito general y alto rendimiento disponible para clientes de software en modo usuario o kernel. Su acceso al kernel lo hace eminentemente útil para los piratas informáticos que buscan privilegios de sistema de bajo nivel, y su diseño orientado al rendimiento ha dejado una serie de agujeros de seguridad a su paso en los últimos años, sobre los que se han abalanzado los actores de ransomware en particular.
"Los controladores del kernel deben tener mucho cuidado al manejar archivos, porque si se descubre una vulnerabilidad, los atacantes pueden explotarla y obtener privilegios del sistema", le dice a Dark Reading Boris Larin, investigador principal de seguridad del equipo de análisis e investigación global de Kaspersky. Desafortunadamente, "las decisiones de diseño en Windows CLFS han hecho que sea casi imposible analizar de forma segura estos archivos CLFS, lo que llevó a la aparición de una gran cantidad de vulnerabilidades similares".
El problema con Windows CLFS
Días cero de nivel Win32k No son del todo infrecuentes, admitió Larin en su investigación. Sin embargo, escribió, “nunca antes habíamos visto tantos exploits del controlador CLFS utilizados en ataques activos y, de repente, se capturan tantos de ellos en solo un año. ¿Hay algún problema grave con el controlador CLFS?
Este año no ha cambiado nada en particular en el controlador CLFS. Más bien, los atacantes parecen haber identificado recién ahora lo que estuvo mal todo este tiempo: se inclina demasiado hacia la izquierda en ese equilibrio eterno e ineludible entre rendimiento y seguridad.
"CLFS quizás esté demasiado 'optimizado para el rendimiento'", escribió Larin, detallando las diversas formas en que el conductor lo prioriza sobre la protección. “Sería mejor tener un formato de archivo razonable en lugar de un volcado de estructuras del núcleo escritas en un archivo. Todo el trabajo con estas estructuras del núcleo (con punteros) ocurre allí mismo, en los bloques leídos del disco. Debido a que se realizan cambios en los bloques y las estructuras del kernel almacenados allí, y esos cambios deben descargarse en el disco, el código analiza los bloques una y otra vez cada vez que necesita acceder a algo”.
Añadió: “Todo este análisis se realiza mediante compensaciones relativas, que pueden apuntar a cualquier ubicación dentro de un bloque. Si una de estas compensaciones se corrompe en la memoria durante la ejecución, las consecuencias pueden ser catastróficas. Pero quizás lo peor de todo es que las compensaciones en el archivo BLF en el disco se pueden manipular de tal manera que diferentes estructuras se superpongan, lo que lleva a consecuencias imprevistas”.
La suma de todas estas opciones de diseño es un registro efectivo de datos y eventos, pero también muchos errores fácilmente explotables. Sólo en 2023 hubo CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 (todas de alta gravedad, con una calificación de 7.8 en la escala CVSS) utilizadas como días cero, así como una quinta vulnerabilidad que se parchó antes de que se observara cualquier actividad maliciosa asociada en la naturaleza. Kaspersky descubrió que todos estos fueron aprovechados por los atacantes, incluido, por ejemplo, el Explotación de CVE-2023-28252 por parte del grupo de ransomware Nokoyawa.
Sin algún tipo de rediseño, CLFS bien podría seguir ofreciendo oportunidades de escalada para los piratas informáticos. Para prepararse para eso, sugiere Larin, “las organizaciones deben centrarse en implementar las mejores prácticas de seguridad: instalar siempre actualizaciones de seguridad a tiempo, instalar productos de seguridad en todos los puntos finales, restringir el acceso a sus servidores y prestar gran atención a las detecciones antivirus provenientes del servidores, capacitar a los empleados para que no se conviertan en víctimas de phishing”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/ransomware-attackers-abuse-windows-clfs-driver-zero-days
