La compañía de software de Redmond, Washington, planea agregar un nuevo paso de verificación para el análisis de los archivos de registro de CLFS como parte de un esfuerzo deliberado para cubrir una de las superficies de ataque más atractivas para los ataques de APT y ransomware.
En los últimos cinco años, ha habido al menos 24 vulnerabilidades documentadas en CLFS, el subsistema de Windows utilizado para el registro de datos y eventos, lo que ha llevado al equipo de Investigación Ofensiva y Seguridad de Microsoft (MORSE) a diseñar una mitigación del sistema operativo para abordar una clase de vulnerabilidades de una sola vez.
La mitigación, que pronto se integrará en el canal Canary de Windows Insiders, utilizará Códigos de Autenticación de Mensajes Basados en Hash (HMAC) para detectar modificaciones no autorizadas en los archivos de registro de CLFS, según una nota de Microsoft que describe este bloqueo de explotación.
“En lugar de seguir abordando problemas individuales a medida que se descubren, [nosotros] trabajamos para agregar un nuevo paso de verificación al analizar los archivos de registro de CLFS, que tiene como objetivo abordar una clase de vulnerabilidades de una sola vez. Este trabajo ayudará a proteger a nuestros clientes en todo el ecosistema de Windows antes de que se vean afectados por posibles problemas de seguridad”, según el ingeniero de software de Microsoft, Brandon Jackson.
Aquí hay una descripción técnica completa de la mitigación:
“En lugar de intentar validar valores individuales en las estructuras de datos de los archivos de registro, esta mitigación de seguridad proporciona a CLFS la capacidad de detectar cuándo los archivos de registro han sido modificados por algo que no sea el propio controlador de CLFS. Esto se ha logrado al agregar Códigos de Autenticación de Mensajes Basados en Hash (HMAC) al final del archivo de registro. Un HMAC es un tipo especial de hash que se produce al hash de datos de entrada (en este caso, datos del archivo de registro) con una clave criptográfica secreta. Debido a que la clave secreta es parte del algoritmo de hash, calcular el HMAC para los mismos datos de archivo con diferentes claves criptográficas resultará en hashes diferentes.
Así como validarías la integridad de un archivo que descargaste de internet al verificar su hash o suma de verificación, CLFS puede validar la integridad de sus archivos de registro calculando su HMAC y comparándolo con el HMAC almacenado dentro del archivo de registro. Siempre que la clave criptográfica sea desconocida para el atacante, no tendrá la información necesaria para producir un HMAC válido que CLFS aceptará. Actualmente, solo CLFS (SISTEMA) y los Administradores tienen acceso a esta clave criptográfica.”
Para mantener la eficiencia, particularmente para archivos grandes, Jackson dijo que Microsoft empleará un árbol de Merkle para reducir la sobrecarga asociada con los cálculos frecuentes de HMAC requeridos cada vez que se modifique un archivo de registro.
Fuente: Security Week