En la Conferencia Black Hat USA de 2024, el investigador de SafeBreach, Alon Leviev, presentó un ataque que manipula un archivo XML de lista de acciones para impulsar una herramienta de “desactivación de Windows” que omite todos los pasos de verificación de Windows y el Instalador de confianza. La herramienta también puede manipular Windows para confirmar que el sistema está completamente actualizado.

El proceso de actualización de Windows estuvo comprometido antes. Lanzado en 2023, BlackLotus UEFI Bootkit incluye capacidades de degradación que utilizan vulnerabilidades en la arquitectura de Windows Update. De manera similar al método que mostró Leviev, BlackLotus Bootkit degrada varios componentes del sistema para evitar los bloqueos VBS UEFI. Luego, un actor de amenazas puede utilizar ataques de “día cero” de escalada de privilegios en un sistema previamente actualizado. En una publicación de blog sobre SafeBreach, Leviev declaró: “Descubrí múltiples formas de deshabilitar la seguridad basada en virtualización (VBS) de Windows, incluidas sus características como Credential Guard y la integridad del código protegido por hipervisor (HVCI), incluso cuando se aplica con bloqueos UEFI. Hasta donde yo sé, esta es la primera vez que los bloqueos UEFI de VBS se evitan sin acceso físico”.

Leviev informó a Microsoft sobre las vulnerabilidades en febrero de este año. Sin embargo, Microsoft todavía está desarrollando una actualización de seguridad para revocar los sistemas VBS obsoletos y sin parches. Microsoft también planea publicar una guía para "proporcionar a los clientes mitigaciones u orientación relevante sobre reducción de riesgos a medida que estén disponibles". Es necesaria orientación ya que, según Leviev, estos ataques son indetectables e invisibles. Para obtener más información o ver el exploit en acción, visite los recursos a continuación.