Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Red Hot Cyber Academy

¡BitLocker bajo ataque! Una nueva técnica permite el movimiento lateral mientras evade los controles de seguridad.

Redazione RHC : 4 agosto 2025 15:24

A través de la función Modelo de objetos componentes (COM) de BitLocker, los atacantes pueden implementar una innovadora técnica de pivoteo para ejecutar código malicioso en los sistemas objetivo. Este enfoque, demostrado mediante una herramienta de prueba llamada BitLockMove, supone un avance significativo en las estrategias de movimiento lateral, evadiendo con éxito los métodos de detección estándar mediante el uso de elementos auténticos de Windows.

Normalmente habilitado en estaciones de trabajo y portátiles para evitar el acceso no autorizado en caso de robo o pérdida del dispositivo, la protección integral de BitLocker lo ha convertido en un objetivo atractivo para los atacantes que buscan abusar de su infraestructura subyacente.

Movimiento Lateral – Diagrama de BitLocker (fuente: ipurple.team)

Durante su presentación, el investigador Fabian Mosch explicó que añadir cada aplicación o función a Windows supone un aumento sustancial de objetos, incluyendo procesos, archivos y claves de registro, que, en conjunto, amplían la superficie de ataque. A pesar de la eficacia de BitLocker para proteger datos inactivos, los expertos han descubierto que su implementación incluye aspectos que pueden ser explotados por atacantes sofisticados para crear herramientas ofensivas.

La técnica recientemente descubierta busca manipular remotamente las claves de registro de BitLocker a través de Instrumental de Administración de Windows (WMI) para secuestrar objetos COM específicos. Este enfoque permite a los atacantes ejecutar código en el contexto del usuario interactivo en los hosts objetivo, lo que podría provocar una escalada de dominio si el usuario comprometido tiene privilegios elevados, como derechos de administrador de dominio.

El ataque explota una vulnerabilidad crítica en la jerarquía de objetos COM de BitLocker, que ataca directamente a la clase BDEUILauncher a través de la interfaz IBDEUILauncher. Los atacantes pueden usar tres métodos principales que ofrece esta interfaz para explotarla:

  • BdeUIProcessStart: Inicia el proceso de BitLocker (BdeUISrv.exe)
  • BdeUIContextTrigger: Proporciona capacidades de manipulación de contexto
  • GetUserLogonTime: Obtiene información sobre las horas de inicio de sesión del usuario

El proceso de explotación se centra en el CLSID ab93b6f1-be76-4185-a488-a9001b105b94, que genera cuatro procesos diferentes como un usuario interactivo. Entre estos, el proceso BaaUpdate.exe es particularmente vulnerable al secuestro de COM cuando se ejecuta con parámetros de entrada. El ataque se dirige específicamente al CLSID faltante A7A63E5C-3877-4840-8727-C1EA9D7A4D50, que el proceso BaaUpdate.exe intenta cargar.

Al crear una entrada de registro para este CLSID y establecer las subclaves adecuadas, los atacantes pueden redirigir el proceso para que cargue código malicioso en lugar del componente legítimo, explicó Fabin. La herramienta BitLockMove demuestra la implementación práctica de esta técnica mediante dos modos de funcionamiento:

  • Modo de Enumeración: La función de reconocimiento de la herramienta utiliza API de Microsoft no documentadas de la biblioteca winsta.dll para enumerar remotamente las sesiones activas en los sistemas de destino. Estas API, como WinStationEnumerateW, WinStationOpenServerW y WinStationQueryInformationW, proporcionan información completa sobre las sesiones sin necesidad de habilitar los Servicios de Escritorio Remoto.
  • Modo de Ataque: Durante la fase activa del exploit, BitLockMove establece una conexión remota con el host de destino a través de WMI y consulta el servicio de Registro Remoto para habilitarlo. A continuación, la herramienta crea la ruta de registro necesaria para preparar el entorno para el secuestro de COM, específicamente mediante la creación de entradas en la estructura de claves CLSID.
BitLockMove: Enumeración de sesión remota (fuente ipurple.team)

El proceso BdeUISrv.exe permanece activo en el sistema, a diferencia del proceso BaaUpdate.exe, vulnerable al secuestro de COM, que se cierra.

Es importante tener en cuenta que el proceso BdeUISrv.exe se ejecutaba bajo el contexto del usuario Administrador, que era el usuario que tenía la sesión interactiva en el host y fue el objetivo.

Aunque la técnica intenta mimetizarse con el entorno, dado que el comando arbitrario se ejecuta en el contexto de un proceso BitLocker confiable (BdeUISrv.exe), existen múltiples oportunidades de detección en distintas etapas. Analizar el comportamiento de la herramienta puede revelar las características de la técnica y las áreas en las que los ingenieros de detección deben centrarse.

La técnica de movimiento lateral mediante el secuestro del modelo de objetos del componente BitLocker implica varios pasos, pero también ofrece numerosas oportunidades de detección. Las organizaciones deben evaluar qué registros son seguros para habilitar en sus entornos y enfocar sus esfuerzos de ingeniería de detección en consecuencia.

Enriquecer el SIEM con todos los registros asociados y ejecutar consultas de búsqueda de amenazas a intervalos cortos permite una detección con un alto nivel de confianza.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Exploit RCE de día cero y sin clics a la venta en iOS. Explora el mercado de ciberarmas para espionaje.
Di Redazione RHC - 01/08/2025

Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...

Microsoft enumera 40 empleos que desaparecerán gracias a la IA. Los empleos prácticos se mantienen.
Di Redazione RHC - 01/08/2025

Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.
Di Redazione RHC - 01/08/2025

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...

¡La fiebre de la IA llega a Wyoming! Un centro de datos de 10 gigavatios consumirá más electricidad que 600.000 personas.
Di Redazione RHC - 31/07/2025

El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...