¡BitLocker bajo ataque! Una nueva técnica permite el movimiento lateral mientras evade los controles de seguridad.

Redazione RHC : 4 agosto 2025 15:24

A través de la función Modelo de objetos componentes (COM) de BitLocker, los atacantes pueden implementar una innovadora técnica de pivoteo para ejecutar código malicioso en los sistemas objetivo. Este enfoque, demostrado mediante una herramienta de prueba llamada BitLockMove, supone un avance significativo en las estrategias de movimiento lateral, evadiendo con éxito los métodos de detección estándar mediante el uso de elementos auténticos de Windows.

Normalmente habilitado en estaciones de trabajo y portátiles para evitar el acceso no autorizado en caso de robo o pérdida del dispositivo, la protección integral de BitLocker lo ha convertido en un objetivo atractivo para los atacantes que buscan abusar de su infraestructura subyacente.

Durante su presentación, el investigador Fabian Mosch explicó que añadir cada aplicación o función a Windows supone un aumento sustancial de objetos, incluyendo procesos, archivos y claves de registro, que, en conjunto, amplían la superficie de ataque. A pesar de la eficacia de BitLocker para proteger datos inactivos, los expertos han descubierto que su implementación incluye aspectos que pueden ser explotados por atacantes sofisticados para crear herramientas ofensivas.

La técnica recientemente descubierta busca manipular remotamente las claves de registro de BitLocker a través de Instrumental de Administración de Windows (WMI) para secuestrar objetos COM específicos. Este enfoque permite a los atacantes ejecutar código en el contexto del usuario interactivo en los hosts objetivo, lo que podría provocar una escalada de dominio si el usuario comprometido tiene privilegios elevados, como derechos de administrador de dominio.

El ataque explota una vulnerabilidad crítica en la jerarquía de objetos COM de BitLocker, que ataca directamente a la clase BDEUILauncher a través de la interfaz IBDEUILauncher. Los atacantes pueden usar tres métodos principales que ofrece esta interfaz para explotarla:

• BdeUIProcessStart: Inicia el proceso de BitLocker (BdeUISrv.exe)
• BdeUIContextTrigger: Proporciona capacidades de manipulación de contexto
• GetUserLogonTime: Obtiene información sobre las horas de inicio de sesión del usuario

El proceso de explotación se centra en el CLSID ab93b6f1-be76-4185-a488-a9001b105b94, que genera cuatro procesos diferentes como un usuario interactivo. Entre estos, el proceso BaaUpdate.exe es particularmente vulnerable al secuestro de COM cuando se ejecuta con parámetros de entrada. El ataque se dirige específicamente al CLSID faltante A7A63E5C-3877-4840-8727-C1EA9D7A4D50, que el proceso BaaUpdate.exe intenta cargar.

Al crear una entrada de registro para este CLSID y establecer las subclaves adecuadas, los atacantes pueden redirigir el proceso para que cargue código malicioso en lugar del componente legítimo, explicó Fabin. La herramienta BitLockMove demuestra la implementación práctica de esta técnica mediante dos modos de funcionamiento:

• Modo de Enumeración: La función de reconocimiento de la herramienta utiliza API de Microsoft no documentadas de la biblioteca winsta.dll para enumerar remotamente las sesiones activas en los sistemas de destino. Estas API, como WinStationEnumerateW, WinStationOpenServerW y WinStationQueryInformationW, proporcionan información completa sobre las sesiones sin necesidad de habilitar los Servicios de Escritorio Remoto.
• Modo de Ataque: Durante la fase activa del exploit, BitLockMove establece una conexión remota con el host de destino a través de WMI y consulta el servicio de Registro Remoto para habilitarlo. A continuación, la herramienta crea la ruta de registro necesaria para preparar el entorno para el secuestro de COM, específicamente mediante la creación de entradas en la estructura de claves CLSID.

El proceso BdeUISrv.exe permanece activo en el sistema, a diferencia del proceso BaaUpdate.exe, vulnerable al secuestro de COM, que se cierra.

Es importante tener en cuenta que el proceso BdeUISrv.exe se ejecutaba bajo el contexto del usuario Administrador, que era el usuario que tenía la sesión interactiva en el host y fue el objetivo.

Aunque la técnica intenta mimetizarse con el entorno, dado que el comando arbitrario se ejecuta en el contexto de un proceso BitLocker confiable (BdeUISrv.exe), existen múltiples oportunidades de detección en distintas etapas. Analizar el comportamiento de la herramienta puede revelar las características de la técnica y las áreas en las que los ingenieros de detección deben centrarse.

La técnica de movimiento lateral mediante el secuestro del modelo de objetos del componente BitLocker implica varios pasos, pero también ofrece numerosas oportunidades de detección. Las organizaciones deben evaluar qué registros son seguros para habilitar en sus entornos y enfocar sus esfuerzos de ingeniería de detección en consecuencia.

Enriquecer el SIEM con todos los registros asociados y ejecutar consultas de búsqueda de amenazas a intervalos cortos permite una detección con un alto nivel de confianza.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli