La característica EFS de Windows puede ser aprovechada en ataques de ransomware

Investigadores de seguridad han creado un concepto de ransomware que aprovecha una característica de Windows. Dicha característica cifra archivos y carpetas para protegerlos del acceso físico no autorizado a la computadora.

La variedad de ransomware desarrollada en el laboratorio se basa en el componente del Sistema de cifrado de archivos (EFS) en el sistema operativo de Microsoft. Este ransomware puede ejecutarse sin ser detectado por algún software antivirus.

Aprovechando una característica legítima

EFS permite a los usuarios cifrar archivos y carpetas específicas. Esto lo hace con una clave simétrica conocida como clave de cifrado de archivos, que luego se cifra con una clave pública (cifrado asimétrico). Este proceso y su reversión se realiza en una capa debajo del sistema de archivos NT (NTFS).

El componente está disponible en las ediciones Professional y superiores del sistema operativo de Microsoft a partir de Windows 2000. Es diferente de Bitlocker, que cifra toda la unidad.

Desarrollo del ransomware

Los investigadores de Safebreach Labs desarrollaron el concepto de ransomware que se basa en EFS para bloquear archivos en una computadora con Windows. La forma en que funciona se describe en los siguientes pasos:

1. El ransomware genera una clave (usando AdvApi32! CryptGenKey) para ser utilizada por EFS y registra el nombre de archivo utilizado por CAPI para esta clave.
2. El ransomware genera un certificado para esta clave, usando Crypt32! CertCreateSelfSignCertificate. Este es agregado al almacén de certificados personales (“MI”) usando Crypt32! CertAddCertificateContextToStore.
3. El ransomware establece la clave EFS actual para este certificado utilizando AdvApi32! SetUserFileEncryptionKey.
4. Ahora el ransomware puede invocar AdvApi32! EncryptFile en cada archivo/carpeta a cifrar.
5. El ransomware guarda el archivo de clave (cuyo nombre se registró en el paso 1 en la memoria y lo elimina de las dos carpetas siguientes:

        ◦ %APPDATA% \Microsoft\Crypto\RSA\sid\ (where sid is the user SID)
        ◦ %ProgramData% \Microsoft\Crypto\RSA\MachineKeys\

6. El ransomware elimina los datos de EFS de la memoria utilizando AdvApi32! FlushEfsCache no documentado (disponible desde Windows Vista). En este momento, los archivos cifrados se vuelven ilegibles para el usuario (y el sistema operativo).
7. Idealmente, el ransomware borra las partes sensibles del disco. Esto para garantizar que los datos de los archivos de clave EFS eliminados y los archivos temporales utilizados por EncryptFile no puedan recuperarse. Esto también se puede hacer antes del paso anterior.
8. El ransomware ahora puede cifrar los datos del archivo de claves recopilados en el paso 5. Por ejemplo, utilizando una clave asimétrica (pública) usada en el ransomware y enviar los datos cifrados al atacante directamente. O también indicar a la víctima que lo haga.

Recuperación de archivos

Restaurar los archivos a su estado legible requiere descifrar los archivos de clave utilizando la clave privada del atacante.

Técnica viable

Amit Klein, vicepresidente de investigación de seguridad de SafeBreach, dijo a que, aunque el malware EFS parece teórico, una demostración en vivo muestra lo contrario. Por la tanto, la técnica utilizada podría surgir pronto en el entorno.

Para demostrar que el ransomware EFS podría ser una amenaza factible, los investigadores probaron su demostración en tres soluciones de seguridad con capacidades anti-ransomware. Fue probada con ESET (Internet Security 12.1.34.0), Kaspersky (Anti Ransomware Tool for Business 4.0.0.861a). Asimismo, con Microsoft (Acceso contralado a carpeatas en Windows 10 64-bit versión 1809, compilación 17763).

Los resultados mostraron que los archivos en máquinas virtuales con Windows 10 infectados con EFS no podían protegerse con las soluciones mencionadas anteriormente.

Esto llevó a los investigadores a presentar sus hallazgos a otros 17 proveedores de anti-malware y anti-ransomware para Windows. Muchos de ellos ya han implementado una solución o ajuste que se implementó en los puntos finales de los clientes. Una lista de sus respuestas está disponible al final del artículo.

Kaspersky y ESET enviaron el año pasado una actualización para proteger contra esta técnica. La respuesta de Microsoft, enviada el 7 de octubre de 2019, fue la siguiente:

“Microsoft considera que el acceso controlado a carpetas es una característica de defensa en profundidad. Es un problema de defensa de clase moderada en profundidad, que no cumple con los Criterios de servicio de seguridad de Microsoft para Windows. Microsoft puede considerar abordar esto en un producto futuro”.

Solución alternativa

Una solución alternativa para defenderse contra el ransomware que se aprovecha del componente EFS es deshabilitar la característica por completo. Esto es posible cambiando el valor de la siguiente clave de registro a 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration

En un entorno empresarial, la desactivación de EFS se puede hacer a través de la Política de grupo. Ten en cuenta que esta solución solo es factible en máquinas donde no se necesita ni se utiliza EFS.

Respuestas de algunos de los proveedores de antivirus más populares.:

• Avast/ AVG(Antivirus), el 26 de septiembre de 2019. “Implementamos una solución para la versión 19.8”
• Avira (Antivirus), el 20 de noviembre de 2019: “valoramos los informes de esta vulnerabilidad potencial. Creemos que esta derivación potencial que depende de un escenario de uso personalizado no es un ‘punto de falla’ realista”.
• Bitdefender (Antivirus Free, Internet Security, Total Security), el 10 de enero de 2020.  “A partir de hoy, la solución comenzó a implementarse en Bitdefender Antivirus, Bitdefender Total Security y Bitdefender Internet Security en la versión 24.0.14.85. En Bitdefender Free Edition, la corrección está en modo de informe solamente.
• Kaspersky (Antivirus, Internet Security, Total Security, Free Antivirus, Small Office Security, Security Cloud, Endpoint Security, Anti-Ransomware Tool for Business), el 7 de octubre de 2019. Todos los productos se actualizaron para proteger contra esta técnica.