Técnicamente, Microsoft no considera esos errores como vulnerabilidades. Sin embargo, los parcheó de todos modos.

Hackers norcoreanos lograron una importante victoria al explotar una vulnerabilidad de Windows no parcheada durante seis meses después de que Microsoft tuviera conocimiento de ella. Aunque Microsoft finalmente solucionó la vulnerabilidad el mes pasado, no mencionó que el grupo de amenazas Lazarus había estado aprovechándola para instalar un rootkit sigiloso en computadoras vulnerables desde al menos agosto.

La vulnerabilidad permitía que el malware con derechos de administrador interactuara con el kernel de Windows, aunque Microsoft argumenta que no representa una violación significativa de seguridad.

VULNERABILIDAD EN WINDOWS

Un «santo grial» para rootkits

En Windows, según Jan Vojtěšek de Avast, la distinción entre administrador y kernel es tenue. Microsoft tiene la discreción de parchear vulnerabilidades de administrador a kernel, ya que no se considera un límite de seguridad. Esto significa que el modelo de seguridad de Windows no garantiza que un atacante de nivel de administrador no pueda acceder directamente al kernel.

La política de Microsoft resultó ser beneficiosa para Lazarus al permitir la instalación de «FudModule», un rootkit personalizado que Avast describió como extremadamente sigiloso y avanzado. Los rootkits son malware capaces de ocultar sus archivos y procesos del sistema operativo, mientras controlan los niveles más profundos del mismo.

Para operar, necesitan obtener privilegios de administrador, lo cual es un logro significativo en la infección de un sistema operativo moderno. Además, deben superar la barrera de interactuar directamente con el kernel, la parte más sensible y protegida del sistema operativo.

Imagen referencial, solo para ilustración de noticia

En el pasado, grupos como Lazarus han logrado superar obstáculos en la seguridad de Windows aprovechando controladores de terceros. Estos controladores, que ya tienen acceso al núcleo del sistema, deben ser autorizados por Microsoft para garantizar su seguridad. Si un grupo como Lazarus encuentra una vulnerabilidad en uno de estos controladores aprobados, pueden aprovecharla para acceder al núcleo de Windows. Este enfoque, conocido como BYOVD, puede ser detectado más fácilmente por los defensores.

La vulnerabilidad que Lazarus explotó, conocida como CVE-2024-21338, fue especialmente sigilosa porque aprovechaba un controlador de sistema incluido en Windows, lo que la hacía más difícil de detectar. Avast, una empresa de seguridad, la consideró el «santo grial» de las vulnerabilidades.

A pesar de que Avast informó a Microsoft sobre la vulnerabilidad en agosto, la compañía no la parcheó hasta meses después. Además, la información sobre la explotación activa y los detalles del rootkit utilizado por Lazarus no se conocieron de Microsoft, sino de Avast. Microsoft actualizó su información después de que Avast hizo pública la situación.

Críticas a la forma de actuar de Microsoft

Muchos Analistas de Seguridad de varias empresas de SEGURIDAD INFORMATICA, han criticado la postura de Microsoft, otros dieron una opinion de una posible causa para que Microsoft tome esta postura a este nivel algo despreocupada, muchos simplemente no entienden por qué la vulnerabilidad 0-Day no puede ser siempre tomada como lo que es, UNA VULNERABILIDAD CRITICA, 0-DAY.

Dado que Microsoft no está explicando las razones de cómo manejó el parcheo de CVE-2024-21338, es probable que el mundo nunca lo sepa. Sin embargo, una cosa está clara: ahora que la vulnerabilidad es pública, el riesgo de que sea más ampliamente explotada ha aumentado. Los usuarios de Windows que aún no han aplicado el parche deben priorizar hacerlo.

Shares