- A continuación, en Microsoft Mechanics, me acompaña una vez más el hacker en jefe y experto en seguridad de Windows, Dave Weston, para profundizar en la seguridad de Windows 11 y la justificación detrás de los requisitos de hardware para implementar la línea de base de seguridad predeterminada más alta hasta la fecha. y cómo esto proporciona una protección significativamente mayor contra el malware y los ataques más sofisticados de la actualidad. Entonces, Dave, usted fundó el Equipo Rojo de piratas informáticos profesionales en Microsoft, y es realmente el trabajo de su equipo mantenerse a la vanguardia de las amenazas externas que podrían comprometer a Windows. Así que creo que los nuevos requisitos del sistema con Windows 11 fueron una sorpresa para muchos de nosotros. Ahora esos equilibran el rendimiento, la confiabilidad y la seguridad. - Ellas hacen. El enfoque que hemos adoptado es una evolución de lo que hemos estado haciendo durante un tiempo. Muchos de los controles de seguridad opcionales o de gama alta de Windows 10 ahora están activados de manera predeterminada y son obligatorios en las máquinas nuevas que se envían con Windows 11. Esto es fundamental porque los ataques cibernéticos son cada vez más altos y cada vez más sofisticados. Así que las cosas realmente han cambiado de atacar por los derechos de fanfarronear a los grandes negocios, y ya es suficiente, de verdad. Mucho de lo que está viendo en Windows 11 es lo que definimos como una PC de núcleo seguro en 2019 con nuestros nuevos requisitos de seguridad de dispositivos para proteger contra ataques de firmware dirigidos. Y esto describió una serie de nuevas protecciones contra las amenazas modernas. Tiene el modelo de seguridad Zero Trust incorporado con seguridad en capas, desde el silicio en la placa hasta el proceso de arranque real, su inicio de sesión como usuario y las aplicaciones que usa en su sesión de Windows todos los días. - Y una de mis partes favoritas de tenerte en el programa es hacer que todo esto sea real y mostrar los ataques en acción de verdad, y también cómo los detendrías en la nueva versión de Windows. - Hoy tengo algunos ataques diferentes , los guiaré y comenzaremos mostrándoles que tienen éxito, luego desglosaré cada protección que implementamos para detenerlos y luego se los probaré. que todos trabajen. Para el primero, voy a demostrar un ataque en una máquina con Windows 10 sin TPM o Arranque seguro habilitado. Comenzaré por entrar en el proceso que tomaría un hacker. Aquí hay un sitio web llamado Shodan.io que la gente usa para identificar máquinas vulnerables conectadas a Internet. Cosas como puertos RDP orientados a la web, como 3389, que están abiertos, etc. Si no conoce este sitio, en realidad es una muy buena idea revisarlo y ver si su organización está expuesta. Muchas personas recurrieron a RDP para habilitar el trabajo remoto en el último año, lo sé. Por supuesto, esto siempre se puede asegurar y bloquear, pero les mostraré las posibles consecuencias si no se ha hecho. Entonces aquí, comencemos yendo a Shodan.io y buscaré a Fabrikam como una organización con el puerto 3389 en los EE. UU. Y puedo ver que el dominio Fabrikam es, de hecho , una máquina en línea con un puerto RDP abierto. Entonces, incluso podemos ver con la miniatura del inicio de sesión, qué nombres de usuario específicos tienen acceso a la consola. Así que ahora voy a cambiar a mi terminal Kali Linux que saqué de la tienda de Microsoft y se ejecuta en el Subsistema de Windows para Linux. Así que ahora voy a intentar iniciar sesión por fuerza bruta en esta máquina virtual en la nube, voy a intentar hacerlo por fuerza bruta con una herramienta utilizada para pruebas de penetración de la distribución Kali Linux. Así que en realidad lo ejecutaré, la herramienta, con un archivo de contraseñas que tiene las contraseñas más comunes que hemos visto en bases de datos filtradas o las que podrías haber visto en sitios como haveibeenpwnd.com. Este solo usa las contraseñas más comunes, pero hay sitios como dehashed.com donde puede buscar un flujo de texto específico para dominios o cuentas de correo electrónico y aumentar su eficiencia en la fuerza bruta. Cada vez que usa fuerza bruta, puede tomar entre minutos, horas o días, y eso dependerá completamente de la configuración, si hay una política de bloqueo y complejidad de contraseña, pero debido a que esto es una simulación, solo para ahorrar tiempo , lo dejaré correr por unos segundos. Así que ahora lo estoy ejecutando y podemos ver aquí que está mi contraseña en texto sin formato, y hay una cuenta de administrador junto con el nombre de usuario y la IP. Entonces, si sigo adelante y los conecto al cliente RDP, ya configuré la IP, configuré el nombre de usuario y, por supuesto, estoy ejecutando esta computadora portátil de súper alta resolución, así que asegurémonos de que podamos veo todo, y ahora ingresaré la contraseña que acabamos de forzar. Y eso es. Ahora se conecta y puede ver que soy el administrador de esta máquina y puedo hacer prácticamente lo que quiera ahora, tengo el control total. - Debo decir que es una locura ver cuántas máquinas hay en el sitio; todos los detalles sobre las cuentas de usuario de inicio de sesión, con RDP abierto a la web. - Lo que es aún más loco es que estoy en una máquina física que estaba abierta a Internet. RDP es uno de los vectores de ataque más comunes para el ransomware, y también sigue ejecutando Master Boot Record o MBR de la vieja escuela, sin UEFI. Hay un TPM allí, pero está deshabilitado. Entonces, veamos qué tan vulnerable es esta máquina. Entonces, una manera fácil de hacerlo es abrir MSINFO. Y ahora lo tengo abierto aquí. Puede ver que el modo BIOS está realmente en legado, lo que significa que el arranque seguro no es compatible. Ahora puedo hacer cualquiera de las modificaciones que quiero con elevación completa, como administrador de la máquina. Entonces, por ejemplo, si quiero instalar un rootkit o un bootkit para socavar el sistema, puedo hacerlo. De hecho, abrí el indicador como administrador aquí y almacené un EXE en mi escritorio. Cambiaré los directorios allí y luego ejecutaré esta herramienta que he creado llamada MBRrewritetool.exe. Esto tiene una carga útil maliciosa, realizará cambios directamente en este registro de arranque heredado. Así que simplemente escribiré sí, y luego el programa iniciará un apagado inmediato. Solo dale un segundo. Ahora, Jeremy, ¿por qué no continúas y reinicias tu máquina para ver qué sucede? - Esperar. ¿Le hiciste eso a mi máquina? Ni siquiera estaba mirando, está cerrado. Bueno. Entonces, voy a encender mi PC en este caso. Así que déjame seguir adelante y encenderlo. Parece que PXE sigue funcionando, eso es algo bueno en caso de que todo lo demás salga mal. Y parece que hay algo de arte ASCI ahí, y parece que quieres que te pague. - Hago. Paga, Jeremy. Entonces, como dice, debe pagar, y debe enviarme algunas criptomonedas y luego arreglaré su máquina por usted. - Está bien, me pondré en eso. Como todos sabemos, por cierto, reescribir el registro de arranque maestro es bastante malo. Incluso si puede iniciar WinPE o WinRE e intentar arreglarlo, no hay garantía de que la partición primaria aún sea recuperable. - Así es. Y esto es similar al ataque NotPetya que quizás hayas visto hace algunos años. Podría haber cifrado fácilmente su disco duro y le mostraré en solo un segundo cómo se soluciona esto con las protecciones predeterminadas de Windows 11. Pero por ahora, déjame mostrarte otro ataque genial. Esta vez va a estar relacionado con el inicio de sesión biométrico. Así que estoy en una máquina sin seguridad basada en virtualización o seguridad de inicio de sesión mejorada activada. Así que déjame iniciar sesión aquí. Voy a probar con mi dedo. Y debido a que esta no es mi PC, verá que mi huella digital no funcionó para permitirme iniciar sesión. Esto es completamente esperado. Ahora, para la siguiente parte de la demostración, hemos deshabilitado completamente la seguridad basada en virtualización en esta máquina, y aunque VBS está activado de forma predeterminada para las máquinas nuevas que ejecutan Windows 11, también tengo un dispositivo de acceso directo a la memoria llamado PCI . sanguijuela. Y voy a usar esto para acceder a lo que hay en la memoria de esta máquina víctima, desde mi máquina atacante y voy a usar eso para modificar el código de autenticación biométrica para las huellas dactilares. Así que en realidad me voy a conectar a través de Thunderbolt, solo asegúrate de que esté todo conectado aquí. Y una vez que haga eso, ejecutaré un exploit que me permitirá modificar el código de autenticación. Así que aquí en mi otra máquina, cuyo nombre en código es Gambino, ejecutaré \dma_unlock.exe. Y eso solo tomará un segundo y verá que hay un parche escrito en el código biométrico, que fue completamente exitoso. Ahora, intentaré iniciar sesión de nuevo. Esta vez podría usar mi dedo, pero ¿por qué no hacemos algo más genial? (susurro de papel) Así que aquí tengo una de mis cosas favoritas, un paquete de ositos de goma. Así que en realidad solo voy a abrir esto. Y lo primero es lo primero, voy a tener un osito de goma para encender un poco, y luego voy a tomar este osito de goma rojo, y voy a tratar de iniciar sesión con él. Así que esto debería funcionar con cualquier objeto capacitivo. Soy un fanático de los ositos de goma, así que voy a intentarlo. Así que vamos a seguir adelante y frotar eso aquí. ¡Y voilá! Puede ver que podemos iniciar sesión con un osito de goma y que, dado que esta cuenta es un administrador local, tengo el control nuevamente. Puedo hacer lo que quiera con esta máquina, la poseo por completo. Así que he mostrado un ataque remoto, así como un ataque físico en persona, y ambos tienen mejores protecciones en Windows 11. Bien, entonces, ¿qué podemos hacer en Windows 11 para detener este tipo de ataques ? y ¿qué tecnologías entran entonces en juego? - Comenzaremos con el ataque que acabamos de ver, y después de eso, arreglaré el ataque donde modifiqué tu MBR. Debido a que el truco de autenticación de huellas dactilares fue contra la memoria, aquí es donde entra en juego la seguridad basada en virtualización o VBS. Entonces, si piensa en el dispositivo DMA aquí, que me permitió omitir la biometría, en realidad necesita modificar los archivos del sistema en la memoria para que funcione a través de su conexión Thunderbolt. Con VBS habilitado, esto no puede suceder, porque VBS separa las cosas que realmente necesitamos proteger de la sesión del sistema operativo en ejecución. Elementos como las claves de cifrado, las firmas y el código están bloqueados en una región aislada de la memoria que está completamente separada del sistema operativo por el hardware . Así que aquí, la integridad de código aplicada por hipervisor, o HVCI, administra la aplicación de la política de integridad de código. Verificará las firmas de los controladores o los archivos del sistema, y cuando las firmas no coincidan, no se cargarán en la memoria del sistema y, lo que es más importante, no podrá modificar el código que se ejecuta en el enclave de VBS. Entonces, primero, permítame mostrarle cómo habilitar la seguridad de inicio de sesión mejorada para biometría. Estoy en un PowerShell ISE aquí, y voy a agregar esta clave de registro a la configuración de protección de mi dispositivo, en escenarios y datos biométricos seguros. Ahora consultaré la clave solo para asegurarme de que esté habilitada y ver si se ve bien. Para que se realice la configuración, necesito reiniciar la máquina. Entonces, dado que ya estoy en PowerShell, solo voy a ejecutar un comando de apagado. Y ahora solo necesito esperar un segundo para este reinicio. Y una vez que regrese a Windows, abriré PowerShell nuevamente y me aseguraré de que nuestra clave esté habilitada. Bien, ahí está mi consulta de registro, la volveré a ejecutar y todavía está activa. Y lo que es más importante, estuvo encendido durante el reinicio, por lo que permaneció encendido. Así que ahora déjame entrar en el menú de inicio y pasaré al visor de eventos. Ahora solo necesito encontrar los eventos biométricos. Así que saltaré a los registros de aplicaciones y servicios, ahora Microsoft y Windows, y escucharé la música de Jeopardy. Sólo necesito encontrar biometría. Y ahora en operaciones, puedo ver que hay un par de eventos, y haré clic en el primero detallado. De modo que puede ver a partir de los datos de este evento que mi sensor de huellas dactilares ahora está completamente aislado en un proceso de modo seguro virtual. No fue antes de cambiar la clave de registro y reiniciar, pero ahora lo es. Así que seguiré adelante y minimizaré el visor de eventos. Voy a abrir empezar de nuevo. Y volveré a nuestro práctico MSINFO. Y con MSINFO, verá que la seguridad basada en virtualización ahora se está ejecutando en esta máquina, lo cual es excelente. Así que ahora bloquearé esta máquina con Windows L y volveré a intentar el mismo ataque. Así que conectaré mi dispositivo DMA, mi sanguijuela PCI. Entonces, ahora que está conectado, intentaremos ejecutar el desbloqueo DMA. Entonces, ve aquí, ejecuta eso de nuevo. Y verá que esto ahora falla con una violación de acceso a la memoria mientras intentaba parchear la DLL, porque esa DLL ahora se ejecuta en un área de memoria segmentada y completamente protegida. Y solo para probarlo, esta vez no haré el osito de goma, pero intentaré iniciar sesión con mi dedo real. De hecho, me pedirá que use la huella digital y verás que está bloqueada. - Bien, en este caso, usa un enclave seguro y memoria para bloquear cualquier modificación de código, pero, ¿hay algo más debajo de las sábanas? - Sí, las protecciones llegan hasta el nivel del silicio. Una vez que se habilita la seguridad de inicio de sesión mejorada, la clave que se usa en lugar de su contraseña se almacena en el TPM o Módulo de plataforma segura. Si no está familiarizado con los TPM, estos son chips físicos o virtuales que se encuentran en la placa base de su PC o en el procesador. Su propósito es proteger las claves de cifrado, las credenciales de usuario y otros datos confidenciales detrás de una barrera de hardware, para que el malware y los atacantes no puedan acceder a esos datos ni manipularlos. Con Windows 11, requerimos TPM 2.0 en nuevas instalaciones de forma predeterminada. La mayoría de las computadoras construidas en los últimos cinco años vienen con esto, a veces el chip TPM se ha desactivado en el firmware y solo necesitará que lo habilites en la BIOS de tu firmware para obtener las protecciones e instalar Windows 11. - Y por cierto, un consejo aquí, el chip TPM en su firmware, también puede denominarse IPTT en un sistema Intel o fTPM en PC con conjuntos de chips AMD. Entonces, ¿por qué no volvemos a mi máquina aquí ? Está bloqueada en este momento, está en estado rescatado. Entonces, ¿cómo protegería Windows 11 algo como esto? - Lo siento, Jeremy, pero fue por una buena causa, te lo aseguro. Así que aquí es donde entran UEFI, Secure Boot y Trusted Boot. No voy a cubrir las formas de hacer que mi vector de ataque remoto inicial sobre RDP sea más seguro. Eso sería un gran futuro de Mecánica. Pero si una máquina se ve comprometida, podemos ayudarlo a minimizar el daño. Windows 11 detendrá este tipo de ataques desde el primer momento porque usamos Secure Boot y Trusted Boot, que usan el hardware UEFI y TPM requerido. Secure Boot y Trusted Boot detienen los rootkits o bootkits que intentan modificar sus primeros archivos de arranque. Entonces, Jeremy, ¿por qué no intentas habilitar el Arranque seguro? - Suena bien, quiero arreglar esto. Entonces, ahora voy a iniciar en la configuración de firmware con mi tecla F, y continuaré y habilitaré el Arranque seguro. Y mientras estoy aquí, me encargaré de que falle. Y eso es por diseño, por cierto, no te preocupes por eso. Eso es intencional, porque para que funcione el arranque seguro, en realidad necesito deshabilitar las opciones de ROM heredadas en este caso. Entonces ahora puedo habilitar el arranque seguro. Una vez que hice eso y presioné Aplicar, y este sistema ahora requiere que se inicie con UEFI y también con Arranque seguro para funcionar. Entonces, ahora que tengo habilitados UEFI, Secure Boot y Trusted Boot, ¿cómo protege eso exactamente a mi máquina de futuros ataques? - Entonces, UEFI por sí solo agrega más seguridad a la secuencia de arranque. Los ataques de rootkit y bootkit generalmente intentan inyectar código malicioso muy temprano en la secuencia de arranque para que puedan ejecutarse sin ser detectados antes de que se cargue su software de protección. UEFI tiene seguridad integrada en las fases iniciales del proceso de arranque y funciona de la mano con nuestros procesos de validación de arranque de Windows para detener los rootkits y los bootkits. Cuando inicia un sistema antes de transferirlo al sistema operativo, Secure Boot verifica la firma digital del cargador de inicio con las claves configuradas por su OEM para asegurarse de que no se haya modificado. Luego, Trusted Boot se hace cargo de verificar el kernel y otros componentes críticos para el arranque y registrar la información en el TPM que usa el arranque medido. El TPM almacena registros de auditoría cuando se utiliza un arranque medido que se puede comparar con registros de arranque en buen estado conocidos en un servidor local, o incluso con el servicio de Intune para escenarios de confianza cero. Y si todo sale bien, Windows se iniciará. Si no, lo detectaremos y lo aplicaremos con cosas como el acceso condicional, o pondremos la máquina en la recuperación de BitLocker y podrá recuperarla la próxima vez que inicie. - Bien, ahora sabemos cómo funciona debajo de las sábanas, pero ¿puedes probar aquí en este caso que funciona? - Por supuesto. Así que estoy en Windows 11. Inicié sesión como administrador local. Entonces, mi secuencia de comandos de PowerShell aquí intentará copiar un nuevo archivo de arranque EFI en la unidad S:\ que acabo de montar. Luego, escribiré Bootmgr para iniciar en un entorno de ransomware, que tiene esa hermosa pieza de arte ASCI y solicitud de pago que vio en la máquina de Jeremy anteriormente. Pero ahora, debido a que tengo habilitados el Arranque seguro y el Arranque de confianza, esto no importará y el ataque será derrotado. Así que voy a reiniciar esta máquina con Windows 11 con esos archivos en su lugar. Y bajo las sábanas, rechazará los cambios que se realizaron en los archivos de arranque. Me llevará al inicio de sesión normal de Windows 11. Por lo tanto, la amenaza se neutralizó automáticamente como parte de los procesos de Arranque seguro y Arranque de confianza. - Genial, eso realmente ayuda a explicar los requisitos de TPM y seguridad basada en virtualización, UEFI y Arranque seguro, pero ¿esas capacidades también desempeñaron un papel en los requisitos del sistema para los conjuntos de chips Intel y AMD Ryzen más nuevos? - Ellas hacen. Entonces, si bien los procesadores anteriores podrían haber admitido VBS y HVCI para obtener la mejor experiencia, los procesadores más nuevos tienen un rendimiento mucho mejor al ejecutar la virtualización requerida. - Y eso tiene mucho sentido. Ya sabes, necesitamos toda la seguridad que podamos obtener, pero no la queremos a costa de reducir el rendimiento. Y estos ataques realmente muestran lo que los TPM y la seguridad basada en virtualización realmente aportan. Entonces, ¿cómo recomienda que las personas aprendan más sobre esto y comiencen a usar estas protecciones? - Primero, pruebe Windows 11 ahora en versión preliminar y actualícelo una vez que esté disponible para el público en general. A continuación, todas las protecciones que mostré hoy son capacidades opcionales en Windows 10. Simplemente actívelas para obtener una mejor seguridad. Y para cualquier dispositivo nuevo que esté comprando, mire seriamente nuestras PC de núcleo seguro de una gran cantidad de OEM. Tienen la protección más integrada y estarán listos para Windows 11 una vez que esté listo para actualizar. - Muy bien, y hay un consejo más relacionado. Ya sabe, si su PC cumple con los requisitos para Windows 11 y actualmente está usando un BIOS y un registro de arranque maestro o partición MBR, puede cambiar de partición MBR a GPT que se necesita para UEFI sin reformatear su disco o reinstalar Windows desde cero. Así que echa un vistazo a nuestro programa en aka.ms/MechanicsMBR2GPT para ver cómo hacerlo. Entonces, muchas gracias Dave, también por responder a todas nuestras preguntas y por la perspectiva interna de los requisitos de hardware de Windows 11. Y asegúrese de seguir mirando Microsoft Mechanics para conocer las últimas actualizaciones. Suscríbete a nuestro canal si aún no lo has hecho y, como siempre, muchas gracias por mirar. (música optimista)