CIGslip Attack Bypass Windows Code Integrity Guard (CIG)

CIGslip Attack Bypass Windows Code Integrity Guard (CIG) 1

Los autores de malware pueden explotar un fallo en el mecanismo de seguridad de Windows Code Integrity Guard (CIG) para inyectar código malicioso sin firmar en aplicaciones protegidas con CIG, que se consideran inmunes a dichos ataques.

La técnica -denominada CIGslip- impacta el Code Integrity Guard (CIG) de Microsoft, un sistema de seguridad que Microsoft introdujo por primera vez en 2015 con el lanzamiento de Windows 10.

CIG era parte de Device Guard, y Microsoft utilizó este mecanismo para evitar la manipulación de los controladores del sistema operativo cargados en Windows 10. Después de su lanzamiento, Microsoft expandió CIG a Microsoft Edge[1, 2], y más tarde también permitió a los desarrolladores de software desplegar CIG con sus propias aplicaciones.

Una aplicación codificada para soportar CIG sólo cargará código (DLLs, binarios) que estén firmados con un certificado de Microsoft o Windows Store.

La principal ventaja de CIG es que, incluso si el equipo de un usuario está infectado, el malware no podrá inyectar código malicioso en las aplicaciones protegidas por CIG. Por ejemplo, un troyano bancario no podrá cargar el código necesario para mostrar las páginas de phishing dentro de Edge, una aplicación protegida por CIG.

El ataque CIGslip evita las protecciones de Code Integrity Guard

Pero los investigadores de seguridad de MorphiSec han revelado hoy que hay una forma de evitar los controles CIG colocando el código malicioso dentro de un proceso no CIG e inyectándolo en una aplicación protegida por CIG desde allí.

Los detalles técnicos del ataque CIGslip se detallan con más detalle en el informe CIGslip de MorphiSec. Un video de demostración está disponible aquí.

Esperar CIGslip en troyanos bancarios y adware

Michael Gorelik, CTO de Morphisec y VP de R&D, dice que CIGslip tiene «un potencial destructivo serio si se vuelve popular».

Los troyanos bancarios son probablemente el primer lugar donde alguien podría esperar ver CIGslip, pero el ataque es igual de útil para los desarrolladores de adware, siempre buscando nuevas formas de superponer anuncios encima de sitios legítimos.

Pero Gorelik argumenta que la técnica también podría ser abusada por vendedores de seguridad legítimos. La razón es que para que un antivirus compruebe el malware basado en navegador, necesita pasar por un largo proceso técnico y legal y hacer que Microsoft firme las DLLs de AV. CIGslip también permite a los fabricantes de antivirus sombreados evitar este largo y engorroso proceso.

Microsoft notificó, pero un parche no llega de inmediato

MorphiSec ha notificado a Microsoft de sus hallazgos, pero a pesar de la gravedad del ataque, Microsoft no ha clasificado a CIGslip como un problema de seguridad. Las razones se explican en el programa de recompensas de Microsoft, aquí.

Esto no significa que Microsoft no planee arreglar CIGslip, sino sólo que no priorizará el parche como una «actualización de seguridad», que normalmente recibe más atención y parches urgentes como parte de las actualizaciones de seguridad mensuales de Patch Tuesday. Un parche CIGslip probablemente aterrizará en un momento posterior.

Contenido relacionado

Deja un comentario