Este artículo brinda un vistazo rápido al paradigma que inauguran vectores de ataque tan populares hoy en día como el escalamiento de privilegios, los cuales incluso aprovechan vulnerabilidades que no requieren técnicas sofisticadas para ser efectivamente explotadas.
Windows, Word y Genshin Impact, un mismo ataque: escalamiento de privilegios
Generalmente, nos preocupamos porque un atacante consiga credenciales de acceso administrativo o aplique algún tipo de artimaña avanzada para tomar control absoluto de un sistema. No obstante, a menudo el atacante recurre a un registro de usuario normal para obtener derechos elevados en el sistema, lo que se denomina «escalamiento de privilegios». En esencia, un tipo de defecto de diseño o vulnerabilidad habilita a un usuario para obtener repentinamente capacidades extendidas, logrando incluso acceso de nivel superior correspondiente a un modo administrativo.
Debido a que el atacante asciende en la escala de privilegios concediéndose a sí mismo autorizaciones normalmente reservadas para agentes de nivel superior, los efectos abarcan desde la pérdida de datos y las interrupciones de servicio prolongadas hasta las enormes multas por violaciones de la normativa (en especial si se manipulan datos sensibles) y el impacto duradero en la reputación de la organización.
Respecto a sus modalidades, el escalamiento puede ser vertical u horizontal. En este último no se busca una cuenta de nivel superior sino que un usuario es capaz de consultar archivos o recursos que normalmente estarían disponibles exclusivamente para otro usuario del mismo nivel. A razón de ello, los individuos con un mayor rango de competencias y un panorama más amplio de la información contenida en la aplicación, posiblemente correspondientes a los altos mandos de una empresa, no son los únicos susceptibles.
Vulnerabilidad CVE
Un ejemplo práctico es la vulnerabilidad CVE 2020-1530, reconocida como Windows Remote Access Elevation Of Privilege Vulnerability, la cual afecta a Windows 2008, 2012, 2016, 2019 y las versiones 7, 8.1 y 10 [1].
Como se observa, afecta a un importante número de sistemas operativos diferentes, algunos de ellos que se remontan a varios años atrás. Si la máquina de la víctima tuviera esta vulnerabilidad de acceso remoto, el atacante sólo necesitaría ejecutar un único programa para apropiarse del sistema.
En el presente año se reportó una nueva vulnerabilidad asociada a este vector de ataque bajo el código CVE-2022. En pocas palabras, consiste en la ejecución remota de código a un servicio llamado Microsoft Windows Support Diagnostic Tool (MSDT), encargado de recolectar información de los equipos que ejecutan Microsoft Windows y Windows Server para enviarla al soporte técnico sin intervención del usuario [2]. Utilizando aplicaciones como Word, un atacante podría adquirir los privilegios de la aplicación que le faciliten instalar programas, ver, modificar o eliminar datos, así como crear nuevas cuentas que posean todos los derechos del usuario. De acuerdo a las métricas con las que se caracterizó la vulnerabilidad a fin de permitir que se evalúe de forma adecuada y se priorice su gestión, se define una complejidad baja (a razón de que no se requieren de condiciones de ingreso especializadas y, en consecuencia, es viable reiterar en el componente afectado), un contexto local en el que es posible su explotación y un alto impacto a los tres atributos fundamentales de la seguridad informática: confidencialidad, integridad y disponibilidad [3].
Adicionalmente, considerando el amplio público de aplicaciones como Word, PowerPoint o Excel, es evidente que el riesgo es alto para usuarios del común, pero también para empresas o incluso entidades gubernamentales que probablemente almacenen en sus computadores información crítica.
En un escenario que tal vez incite menos el pánico entre un público general, en septiembre de 2022 se encontró que un controlador para el videojuego Genshin Impact fue utilizado para desactivar los programas antivirus y facilitar el despliegue de un ransomware [4]. Pese a que podría pensarse que la envergadura de un ataque así se encuentra más restringida, es de notar que el videojuego posee estadísticas descomunales: un total de 63.301.146 jugadores activos entre julio y agosto del 2022 [5]. La infección del ransomware en cuestión se apoyó en el hecho de que es un controlador legítimo que cuenta con un certificado válido, lo que le permite eludir medidas de seguridad y escalar privilegios desde el modo usuario al modo kernel (la parte central del sistema operativo que, entre otras funciones, administra el acceso al hardware).
Finalmente, relacionado con el artículo previo, Amazon Web Services (AWS) publicó un «hotpatch» (un tipo de modo de actualización en el cual se le ahorra al usuario el reinicio del servicio o de la máquina posterior a la instalación) que pretendía responder a las vulnerabilidades de Log4Shell. Sin embargo, en virtud de la bien sabida creatividad (y, valga la pena mencionarlo, eficiencia) de los hackers, se encontró que el parche puede ser empleado para escalar privilegios y tomar control total del servidor comprometido. Tal situación se deriva del hecho de que la solución se diseña para buscar procesos Java en la aplicación y parcharlos contra el fallo de Log4j sobre la marcha (es decir, «en caliente»), por lo que no garantiza que los nuevos procesos Java se ejecuten dentro de las nuevas restricciones impuestas. En específico, se podría haber incluido un binario malicioso denominado «java» para engañar al parche e invocarlo con privilegios elevados y, estos a su vez, ser utilizados para efectuar otras acciones cuyas consecuencias se extiendan más allá de la aplicación donde se originaron [6].
A raíz de las múltiples amenazas existentes en el ciberespacio, en conjunto con el amplio espectro de contextos en las que pueden desplegarse y materializarse los vectores de ataque existentes, es inminente priorizar acciones que minimicen el riesgo y refuercen la seguridad del entorno, sea local o empresarial. El propio sistema operativo puede tener salvaguardas para evitar que un tercero tome ventaja de la elevación de privilegios. Una de estas salvaguardas se llama prevención de ejecución de datos y es una forma de exigir que las aplicaciones sólo se ejecuten en ciertas áreas de la memoria autorizadas.
Así, las vulnerabilidades que intentan correr una aplicación desde otra sección en la memoria serían bloqueadas usando la prevención de ejecución. Así mismo, muchos sistemas operativos aleatorizan la información que se almacena en la memoria, de modo que si un atacante encuentra una forma de manipular una dirección de memoria en un sistema, no le será posible replicar este ataque procediendo de la misma manera. Por último, desde el lado de los usuarios finales es perentorio implementar un modelo de mínimos privilegios para la totalidad de empleados y programas, manteniendo el software de antivirus al día y actualizando con prontitud en cuanto el proveedor lo recomiende.
Si deseas tener siempre a la mano el artículo escrito por nuestra ingeniera Valentina Salazar, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
Referencias:
[1] U.S. Department of Homeland Security (2020) CVE-2020-1530. Recuperado de https://cve.mitre.org/cgi-bin/cvename.cgi ?name=CVE-2020-1530
[2] Center for Internet Security (2022) A Vulnerability in Microsoft Support Diagnostic Tool (MSDT) Could Allow for Arbitrary Code Execution. Recuperado de https://www.cisecurity.org/advisory/a-vulnerability-in-microsoft-support-diagnosti c-tool-msdt-could-allow-for-arbitrary-code-execution_2022-074
[3] Microsoft (2022) Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability. Recuperado de https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190 [4] Lakshmanan, R. (5 de septiembre 2022) Ransomware Attackers Abuse Genshin Impact Anti-Cheat System to Disable Antivirus. The Hacker News. Recuperado de https://thehackernews.com/2022/09/ransomware-attackers-abuse-genshin.html
[5] Pastoriza, M. (2022) ¿Cuántos jugadores tiene Genshin Impact? Recuento total (agosto 2022). Recuperado de https: //www.dexerto.es/genshin-impact/cuantos-jugadores-tiene-genshin-impact-recuento-total-octubre-de-2021-1450416/
[6] Lakshmanan, R. (21 de abril de 2022) Amazon’s Hotpatch for Log4j Flaw Found Vulnerable to Privilege Escalation Bug. The Hacker News. Recuperado de https://thehackernews.com/2022/04/amazons-hotpatch-for-log4j-flaw-found.html
Consúltenos vía email a: info@cyte.co acerca de las preguntas que pueda tener sobre cómo puede adquirir la herramienta Crypto-Vault® para cifrado y descifrado de documentos sensibles de su organización.