Microsoft no ve importante parchear un grave fallo de Windows

Software

Los fallos de seguridad en los sistemas operativos no paran de aparecer constantemente. Entre los sistemas operativos que más vulnerabilidades recogen se encuentran Windows y Android, los cuales son los que más se utilizan a nivel mundial, y también los que más se miran con lupa (sobre todo Android, al ser código abierto)

Descubren cómo saltarse PatchGuard, encargado de proteger el kernel

Ahora, un grupo de investigadores de CyberArk Labs ha descubierto un grave fallo en PatchGuard, el sistema de protección que Microsoft utiliza para el kernel del sistema operativo. Este fallo permite a un atacante plantar un rootkit en ordenadores con Windows 10 actualizados a la última y más segura versión del mismo. PatchGuard, o Kernel Patch Protection, fue desarrollado por Microsoft con el objetivo de evitar que un hacker o atacante parcheara y modificara el kernel en las versiones de 64 bits de Windows.

windows-10-ghosthook

Bautizado como GhostHook, este ataque es el primero que consigue corromper la seguridad de PatchGuard. A pesar de ello, el ataque requiere que un atacante esté delante del ordenador y esté ejecutando código en el kernel. Este fallo no es un exploit ni un fallo de elevación de privilegios, sino que está pensado pasar ser utilizado una vez se tiene control sobre el ordenador objetivo. Lo que sí es grave es que el rootkit, una vez implantado en el ordenador objetivo, sería totalmente indetectable por los antivirus de terceros en el sistema operativo y por el sistema de protección del kernel PatchGuard.

CyberArk cree, además, que el fallo puede ser muy complicado de parchear por parte de Microsoft, ya que la técnica utiliza hardware para obtener el control del kernel. En concreto, se aprovecha de una vulnerabilidad en la implementación de Microsoft de una nueva función de los procesadores Intel conocida como Intel PT (Processor Trace), en el punto en el que esta función se comunica con el sistema operativo.

Para Microsoft, ejecutar código a nivel de kernel no es grave

Intel PT, lanzado meses después de PatchGuard, permite a las aplicaciones de seguridad monitorear y analizar los comandos que se ejecutan en la CPU para identificar una posible ejecución de código malicioso, como exploits o malware, antes de que lleguen a nivel del sistema operativo. Los hackers se aprovechan de este sistema dejando un buffer pequeño de paquetes para Intel PT, obligando a que salte el PMI handler, el cual controla el atacante y permite lanzar el “gancho” para controlar el comportamiento de un sistema operativo.

Sin embargo, Microsoft no ha visto que GhostHook sea una amenaza grave, y que de momento no estiman lanzar ningún parche de seguridad, aunque no descartan arreglarlo en una futura versión de Windows. Todo ello debido a que, como la condición para ejecutarlo es muy limitada (que el atacante ya esté ejecutando código a nivel de kernel), no se va a dar nunca. Sin embargo, CyberArk Labs cree que debería parchearse, porque PatchGuard es un componente importante del kernel que no debería poderse saltar en ningún caso. Luego vienen los lloros cuando la CIA encuentra una herramienta que se aproveche de este fallo.

Escrito por Alberto García

Fuente > THN