Investigadores crean un PoC que compromete el Kernel de Windows

Los investigadores han demostrado un nuevo método de ataque capaz de comprometer el kernel en máquinas con Windows.

El jueves en la conferencia Black Hat en Las Vegas, los investigadores de la firma de seguridad cibernética Endgame demostraron cómo los ataques del kernel pueden ir más allá del malware y los exploits para comprometer completamente una máquina con Windows.

Según informó Threat Post, durante la sesión de "Amenazas en el modo kernel y defensas prácticas", Joe Desimone, investigador senior de Endgame, demostró cómo "Turla Driver Loader" podría convertirse en un ataque de kernel completo sin archivos.

Turla Driver Loader (TDL), disponible en GitHub, es un cargador de controladores diseñado para eludir las protecciones de Windows x64 Driver Signature Enforcement.

Si bien la medida de seguridad tiene como objetivo evitar que los conductores carguen sin firma digital, según los desarrolladores de TDL, esto "arruinó muchos programas freeware" y "no repararon nada en el campo antimalware", lo que llevó al desarrollo del bypass.

El Kernel

El componente más importante de los sistemas operativos es el Kernel y es uno de los aspectos más críticos de las máquinas hoy en día.

El kernel es el módulo central de un sistema operativo y una vez cargado permanece en la memoria para gestionar aspectos de procesos y tareas.

Si un atacante consigue acceder al núcleo, puede explorar los elementos críticos de un sistema operativo y realizar acciones que de otro modo estarían prohibidas.

Como resultado, los proveedores de PC, incluido Microsoft, gastan una gran cantidad de recursos para proteger el kernel.

El gigante de Redmond tiene varias protecciones implementadas, como Kernel Patch Protection (KPP) que evita que el kernel sea parchado, Driver Signature Enforcement (que solo permite cargar los controladores que han sido aprobados por Microsoft) y Secure Boot, que está destinado a detener el arranque del software que no sea el proporcionado por el fabricante del equipo original (OEM).

Sin embargo, los atacantes cibernéticos constantemente buscan nuevas formas de comprometer el kernel a través de malware y nuevas técnicas de ataque.

TDL no fue diseñado como una herramienta para los creadores de Malware o otras amenazas, y sin embargo, el código público puede ser utilizado para un ataque total de los sistemas de Windows y para la exfiltración de datos.

Los investigadores demostraron cómo TDL se puede usar como parte de una cadena de exploits. Herramientas de piratería Squiblydoo/Squiblytwo y DotNetToJS se pueden utilizar para ejecutar código .NET arbitrario que asigna TDL a la memoria sin tocar el disco y sin configurar las protecciones de Windows o el software antivirus.

Una vez cargada en la memoria, TDL puede explotar un controlador firmado e introducir código malicioso en el kernel.

Los investigadores dicen que no conocen otros equipos que hayan creado la misma cadena de exploits para el comprometer el kernel.

En declaraciones a Threat Post, Gabriel Landau Endgame, investigador, dijo:** "Podemos tener acceso completo a las máquinas de una manera sigilosa"**.

En respuesta a tales ataques, Microsoft lanzó recientemente Virtualization Based Security (VBS) que pone a prueba el kernel. Sin embargo, incluso esta protección no es suficiente ya que Endgame también pudo eludir VBS para desactivar de manera silenciosa las soluciones antivirus.

Al mismo tiempo que Endgame estaba demostrando cómo poner en peligro aspectos críticos de los sistemas Windows, Microsoft instaba a los cazarrecompensas a centrar su atención en Hyper-V.