Un investigador de seguridad ha publicado una herramienta de evasión mejorada llamada EDR-Redir V2 que explota la tecnología de enlace de enlace de Windows para eludir las soluciones de detección y respuesta de endpoints en Windows 11.
Esta nueva versión adopta un enfoque diferente al de su predecesora, al atacar los directorios superiores en lugar de atacar directamente las carpetas del software de seguridad.
Cómo funciona el ataque
La técnica se basa en una manipulación inteligente de las estructuras de carpetas de Windows de las que depende el software de seguridad.
Cuando las soluciones antivirus y EDR se instalan en sistemas Windows, normalmente colocan sus archivos en ubicaciones estándar como Archivos de programa, Archivos de programa (x86) o ProgramData.
Si bien estas herramientas de seguridad protegen sus propias carpetas operativas contra la escritura de archivos no autorizada, no pueden impedir modificaciones en sus directorios superiores sin dañar otras instalaciones de software legítimas.
EDR-Redir V2 aprovecha esta limitación creando enlaces que redirigen carpetas principales completas.
La herramienta primero consulta todas las subcarpetas dentro de un directorio objetivo, como Archivos de programa, y luego crea las carpetas correspondientes en una ubicación controlada por el atacante.
Establece enlaces que crean un bucle, lo que provoca que la mayoría de las carpetas apunten a sí mismas y funcionen con normalidad.
Sin embargo, la carpeta del software de seguridad se excluye deliberadamente de este bucle, lo que obliga a redirigir a través del directorio controlado por el atacante.
Esta redirección hace creer al software de seguridad que la carpeta del atacante es su directorio padre legítimo.
Una vez establecida esta redirección, los atacantes pueden realizar el secuestro de DLL colocando archivos ejecutables maliciosos en la ubicación redirigida, obteniendo potencialmente privilegios de ejecución de código y evadiendo la detección.
El investigador demostró la técnica contra Windows Defender en Windows 11, que reside en el directorio C:\ProgramData\Microsoft.
Utilizando la herramienta de línea de comandos, EDR-Redir redirigió con éxito a Windows Defender para que reconociera C:\TMP\TEMPDIR como su carpeta principal.
La herramienta proporciona información en la consola que muestra qué enlaces se crean, lo que permite a los investigadores de seguridad supervisar el proceso de redireccionamiento.
El ataque requiere especificar tres parámetros:
- La carpeta de destino a redirigir
- la carpeta de destino controlada por el atacante
- y una carpeta de excepción donde no se debe crear el bucle de enlaces.
Esta excepción es fundamental para forzar al software de seguridad a través de la ruta redirigida, manteniendo al mismo tiempo el funcionamiento normal de otros componentes del sistema.
El investigador cree que muchas soluciones EDR podrían ser vulnerables a esta técnica porque los desarrolladores normalmente no prevén que se redirijan carpetas principales como Archivos de programa.
Esta suposición crea un punto ciego en las arquitecturas de seguridad que se centran en proteger directorios de aplicaciones específicos sin supervisar la integridad de las estructuras de carpetas principales.
La defensa recomendada consiste en monitorizar la creación y modificación de enlaces para carpetas críticas del sistema.
Los equipos de seguridad deben implementar reglas de detección que alerten cuando se establezcan enlaces para directorios sensibles como Archivos de programa, Archivos de programa (x86) y ProgramData.
Las comprobaciones periódicas de la integridad de las estructuras de carpetas pueden ayudar a identificar redirecciones no autorizadas antes de que puedan ser explotadas.
La herramienta EDR-Redir V2 está disponible públicamente en GitHub, lo que la hace accesible tanto a investigadores de seguridad como a posibles actores de amenazas.
Las organizaciones que utilizan soluciones EDR en sistemas Windows deben evaluar sus defensas contra esta técnica e implementar controles de monitoreo adecuados para detectar intentos de manipulación de enlaces de enlace.
