Un reciente hallazgo en ciberseguridad ha sacudido el panorama tecnológico: un ataque conocido como “downgrade” o “degradación” ha demostrado ser capaz de revertir actualizaciones de seguridad en sistemas #Windows, dejando a los usuarios expuestos a antiguas vulnerabilidades. Según un informe detallado por #BleepingComputer, este ataque, denominado “Windows Downdate”, pone en riesgo la seguridad de los sistemas al permitir que ciberdelincuentes retrocedan versiones del sistema operativo, reintroduciendo fallos previamente corregidos.
¿Qué es el Ataque de Degradación en Windows y Cómo Funciona?
El ataque de degradación fue descubierto por Alon Leviev, investigador de la empresa de seguridad #SafeBreach, quien encontró dos vulnerabilidades críticas de “día cero” en #Windows10, #Windows11 y #WindowsServer. Estos fallos permiten a los atacantes obligar a los dispositivos a utilizar versiones antiguas del sistema operativo, manteniendo a los usuarios en un estado de vulnerabilidad sin que ellos lo detecten, ya que el sistema sigue mostrando que está completamente actualizado. Esto representa un peligro significativo, ya que engaña tanto a los usuarios como a las herramientas de seguridad.
El origen de este ataque está relacionado con el kit de arranque UEFI #BlackLotus, descubierto en 2023, que degradaba el Administrador de Arranque de Windows, eludiendo medidas de seguridad como el arranque seguro. Leviev amplió la investigación y descubrió que el proceso de actualización de Windows también podría ser explotado para degradar componentes críticos, como bibliotecas DLL y el núcleo NT, afectando a todas las versiones modernas de Windows.
Consecuencias y Medidas de Seguridad para Proteger tu Sistema Windows
El impacto de este ataque es considerable, ya que permite que vulnerabilidades previamente corregidas vuelvan a ser explotadas. Esto desafía el concepto de un sistema “completamente parcheado” y plantea serias preocupaciones sobre la efectividad de las actualizaciones de seguridad en #Windows. Lo más alarmante es que este método de degradación es el primero en eludir la seguridad basada en virtualización (#VBS) sin necesidad de acceso físico al dispositivo, aumentando la gravedad del problema.
Microsoft fue informada de esta vulnerabilidad en febrero de 2024, y en respuesta, la compañía identificó las fallas como “Vulnerabilidad de escalada de privilegios de la pila de Windows Update (CVE-2024-38202)” y “Vulnerabilidad de escalada de privilegios del modo kernel seguro de Windows (CVE-2024-21302)“. Aunque Microsoft aún no ha detectado intentos de explotar estas vulnerabilidades, están trabajando en una actualización para deshabilitar los archivos antiguos del sistema VBS, que son el principal objetivo del ataque de degradación.
Medidas Inmediatas y Futuras
Mientras se implementan las actualizaciones necesarias, es crucial que los usuarios mantengan una vigilancia constante sobre las actualizaciones de seguridad de #Microsoft y sigan las mejores prácticas de seguridad cibernética. La compañía ha agradecido el trabajo de SafeBreach en la identificación de esta amenaza y aseguró que están llevando a cabo un proceso exhaustivo de investigación, desarrollo de actualizaciones y pruebas de compatibilidad. Además, Microsoft está desarrollando mitigaciones adicionales para proteger a los usuarios de este riesgo latente.
Este descubrimiento subraya la necesidad de estar siempre al tanto de las últimas amenazas en ciberseguridad y refuerza la importancia de contar con soluciones de seguridad robustas y actualizadas.
