La seguridad de Windows 11 mejora y se apunta al Zero Trust

Sergio de los Santos    18 abril, 2022
Persona utilizando un ordenador con Windows 11

Windows 11 acaba de anunciar, a pesar de llevar desde octubre de 2021 en el mercado, sus mejoras en ciberseguridad. Vamos a analizar las nuevas funcionalidades, algunas viejas conocidas incluso, pero aplicadas por defecto o mejoradas sustancialmente.

Por supuesto, la estrategia global debía basarse en el concepto de moda del Zero Trust y trabajo híbrido en varias capas y así lo han organizado. Vamos a analizarlas someramente porque no se conocen excesivos detalles técnicos todavía.

Captura de pantalla de Windows 11
Aproximación Zero Trust en Windows 11

Hardware: Plutón

Plutón es un procesador dedicado solamente a la seguridad e incrustado en versiones de Qualcomm y AMD Ryzen. Esto es, un TPM directamente en el procesador que almacena por ejemplo las claves de BitLocker o del sistema de identificación Hello. ¿Para qué sirve y en qué mejora los TPM actuales? El hecho de que esté incrustado impide que alguien abra físicamente el dispositivo y “esnife” desde el bus la información que viaja del TPM al procesador.

Porque, aunque parezca muy complicado, es posible atrapar contraseñas de BitLocker conectando una pieza de hardware al procesador y leyendo este tráfico con un determinado programa. De hecho, durante la presentación oficial de la funcionalidad se hace una demostración bastante práctica del proceso de ataque.

Acceso físico a un ordenador
El ataque para conseguir la contraseña BitLocker de un ordenador al que se tiene acceso físico

Windows 11 no funciona sin dispositivos TPM, pero ahora además puede disfrutar de ese TPM en el mismo procesador. Además, el firmware de Plutón será controlado por las propias actualizaciones de Windows. Y sí, se hará opensource para poder ser aprovechado por otros sistemas operativos.

Config Lock

Config Lock es sencillo de explicar. Para los sistemas gestionados a través de MDM, ya existía Secured-Core PC (SCPC), una configuración que permitía controlar y administrar el dispositivo por parte de los administradores en compañías. Con Config Lock, no habrá ninguna ventana de oportunidad entre el momento de cambio de algún valor de seguridad perpetrado por el usuario y la aplicación de la política de seguridad impuesta por la administración.

Si el usuario desactiva algún sistema de seguridad, inmediatamente volverá a su sitio tal y como la configuró el diseñador de la política. La configuración queda así “bloqueada” y no necesita esperar ni siquiera minutos a que se revierta.

Personal Data Encryption

Interesante nueva funcionalidad. Básicamente se trata de cifrar los archivos por encima de BitLocker, con una capa de cifrado invisible también para el usuario. Pero este no tendrá que recordar ni ejecutar nada para descifrar su información, sino que al hacer login con Hello en Windows, podrá acceder a sus datos sin problemas. Si no se ha logueado en Windows con Hello, los ficheros aparecerán cifrados y no se podrá acceder a ellos. ¿Para qué sirve esto?

Como dicen en el ejemplo de la presentación, previene ataques en los que se eluda la pantalla de bloqueo a través de ataques de acceso directo a memoria DMA que no estén protegidos. Un atacante que no se haya autenticado en el sistema por los cauces “habituales” sino que se haya saltado la pantalla de bloqueo, no podrá acceder a los ficheros gracias a PDE.

Una capa por encima del cifrado en frío de BitLocker, estaría la PDE para el cifrado en caliente. La contraseña de PDE no la conoce el usuario, simplemente se borra de memoria cuando se bloquea el sistema, y se descifra al desbloquearlo con el login habitual. También serviría como seguridad adicional si el atacante se salta BitLocker. Parece que choca o se superpone en cierta forma con la funcionalidad EFS.

¿Cómo se implementa esto? Si el atacante intenta acceder sin haberse autenticado como usuario (saltándose la pantalla de bloqueo o montando el disco en otro ordenador), aparecería un candado cerrado en los ficheros y un mensaje prohibiendo el acceso.

Captura de pantalla - No se puede acceder al fichero gracias a PED
No se puede acceder al fichero gracias a PED

Smart App Control

SAC parece muy orientado a comprobar la firma y certificados del fabricante de los binarios. Se intentará determinar si es correcta (con su certificado válido y correcto), antes de pasar incluso por Windows Defender para añadir una capa de seguridad extra. SAC está basado en IA, lo que implica telemetría. Parece que Microsoft camina hacia requerir por defecto que los programas estén firmados o sean descargados desde un repositorio confiable, como ya lo hace MacOS o Android.

Mejora el SmartScreen habitual en el que Windows, gracias a su telemetría, te dice si una app es legítima o no. También mejora AppLocker que es más estático. SAC estará basado en la IA alojada en la nube, aprendiendo del usuario. De hecho, para los que quieran activarlo, requiere una reinstalación del sistema para que pueda aprender desde el principio qué programas son habituales en ese equipo.

Captura de pantalla Smart app
Smart App cree que la aplicación no es de fiar y te manda al Store oficial

Enhanced phishing protection for Microsoft Defender

Esta es quizás una de las medidas más interesantes. Hasta ahora, SmartScreen a través del navegador (o en versiones profesionales, por otros medios) protegía en el sistema de una URL maliciosa, o dominio sospechoso. Por simple comparación. Ahora va más allá, y Windows protege a varios niveles las contraseñas, vigilando en todo momento dónde son usadas o enviadas. Tanto si es una URL visible, como interna (a qué URL viajan) o incluso si son guardadas de forma insegura.

Por un lado, observa las conexiones de red en cualquier aplicación (Teams incluida) y si concluye que la contraseña viaja a un dominio que no debería, alerta al usuario, aunque esta no sea la URL principal del dominio que está visitando. En la imagen se observa cómo una página que simula ser el login de Office incrustada en TEAMS, está en realidad (se destaca en el sniffer Fiddler la conexión) llevando la contraseña de Office a otro dominio.

Captura de pantalla - Proceso de detección de que la contraseña viaja a otro sitio que no debería
Proceso de detección de que la contraseña viaja a otro sitio que no debería

Pero va más allá. Si se te ocurre almacenar las contraseñas en el un TXT en Notepad, te alertará del error. Y aún peor, si se reutiliza una contraseña conocida por el sistema operativo (en la imagen, por ejemplo, en LinkedIn) también alertará del problema que podría suponer.

En esta modalidad, Windows como sistema operativo no trata la contraseña como una cadena más, sino que la conoce a todos los niveles y la vigila durante todo su uso dentro del sistema operativo. ¿Podría dar falsos positivos con las apps de almacenamiento de contraseñas?

Alertas al reutilizar la contraseña en Linkedin y al almacenarla en un TXT.
Alertas al reutilizar la contraseña en Linkedin y al almacenarla en un TXT.

Todas estas opciones podrán ser desactivadas por el usuario.

Captura pantalla protección phishing Windows 11
Cómo activar o desactivar estas funciones de protección en Windows 11

Por último, Windows 11 activa por defecto VBS, o la virtualización como elemento de seguridad. Desde que en 2008 se incluyó Hiper-V, el software de Microsoft que aprovecha la capacidad de virtualización nativa de los procesadores Intel y AMD, se han orientado estas funcionalidades para mejorar la seguridad. De hecho, a esta estrategia se le llama Virtualization-Based Security o VBS. Se centra en virtualizar memoria para aislar los procesos entre sí al máximo.

Si un atacante intenta explotar un fallo en el kernel y está operando desde ahí, se dispondría de una abstracción todavía superior (o inferior, según se mire) con aún más poder que el kernel, que permitiría prevenir procesos o acceso a ciertos recursos incluso cuando el atacante ya tiene poderes en el ring0. De ahí su utilidad. Esto se implementa con el hypervisor-protected code integrity (HVCI) que impediría inyectar código dinámico en el kernel (como hizo Wannacry).

A su vez, esto permitirá que funcione directamente el Credential Guard (no es nueva, pero sí infrautilizada) y la protección LSASS para que no cargue en este proceso crucial código no firmado, que también es una vieja conocida (RunAsPPL en el registro, básicamente una protección contra Mimikatz). Todo esto, aunque ya conocido, vendrá activo de serie en Windows 11.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.