Una nueva técnica de movimiento lateral que explota la funcionalidad del Modelo de objetos de componentes (COM) de BitLocker para ejecutar código malicioso en los sistemas de destino.
La técnica, demostrada a través de la herramienta de prueba de concepto de Move Bitlock, representa una evolución sofisticada en las tácticas de movimiento lateral que evita los mecanismos de detección tradicionales al tiempo que aprovecha los componentes legítimos de Windows.
BitLocker, la función de cifrado de disco completo de Microsoft diseñada para proteger los datos a través del cifrado de volumen completo, se ha convertido en una piedra angular de la seguridad de punto final de Windows.
Por lo general, habilitado en estaciones de trabajo y computadoras portátiles para evitar el acceso no autorizado en caso de robo o pérdida de dispositivos, la protección integral de BitLocker lo ha convertido en un objetivo atractivo para los atacantes que buscan abusar de su infraestructura subyacente.
El investigador Fabian Mosch explicó durante su presentación que cada aplicación o característica de Windows presenta un volumen significativo de objetos, incluidos procesos, archivos y claves de registro, que expanden colectivamente la superficie de ataque.
Mientras que BitLocker protege efectivamente los datos en reposo, su implementación contiene elementos que los actores sofisticados de amenaza pueden armarse.
Proceso de movimiento
La técnica recientemente revelada se dirige a la manipulación remota de las claves de registro de BitLocker a través de Windows Management Instrumentation (WMI) para secuestrar objetos COM específicos.
Este enfoque permite a los atacantes ejecutar el código bajo el contexto del usuario interactivo en los hosts objetivo, lo que puede conducir a la escalada de dominio si el usuario comprometido posee privilegios elevados, como los derechos del administrador del dominio.
El ataque aprovecha una vulnerabilidad crítica en la jerarquía de objetos BitLocker Com, específicamente dirigida a la clase Bdeuilauncher a través de la interfaz Ibdeuilauncher. Esta interfaz proporciona tres métodos clave que los atacantes pueden explotar:
BdeuiprocessStart: inicia el proceso de bitlocker (bdeuisrv.exe) bdeuiContexttrigger: proporciona capacidades de manipulación de contexto getUserLogonTime: recupera la información de tiempo de inicio de sesión del usuario
El proceso de explotación se centra en el CLSID AB93B6F1-BE76-4185-A488-A9001B105B94, que genera cuatro procesos diferentes como el usuario interactivo. Entre estos, el proceso Baaupdate.exe resulta particularmente vulnerable al secuestro de COM cuando se ejecuta con parámetros de entrada.
El ataque se dirige específicamente al CLSID faltante A7A63E5C-3877-4840-8727-C1EA9D7A4D50, que el proceso Baaupdate.exe intenta cargar.
Al crear una entrada de registro para este CLSID y establecer subcámbulos apropiados, los atacantes pueden redirigir el proceso para cargar código malicioso en lugar del componente legítimo, Fabin dicho.
La herramienta BitLockmove, disponible en GitHub, demuestra la implementación práctica de esta técnica en dos modos operativos:
Modo de enumeración
La capacidad de reconocimiento de la herramienta utiliza API de Microsoft indocumentadas de la biblioteca Winsta.dll para enumerar de forma remota las sesiones activas en los sistemas de destino. Estas API, incluidas Winstationenumeratew, WinStationOpenserverw y WinStationQueryInformationW, proporcionan información integral de sesión sin requerir que se habiliten servicios de escritorio remotos.
Modo de ataque
Durante la fase de explotación activa, BitLockmove establece una conexión remota con el host de destino a través de WMI y ejecuta consultas para habilitar el servicio de registro remoto. Luego, la herramienta construye la ruta de registro necesaria para preparar el entorno para el secuestro de COM, creando específicamente entradas bajo la estructura de clave CLSID.
La secuencia de ataque implica varios pasos críticos:
Activación del registro remoto: la herramienta consulta el estado del servicio de registro remoto y lo permite si es necesario Manipulación de clave de registro: Creación de la entrada de CLSID maliciosa con InSprocserver32 Subkey apuntando a la coerción del proceso DLL del atacante: activación de bitslock de bitslocker de bitlock Tras del ataque eliminando las entradas de registro malicioso
A pesar de la sofisticación de la técnica, existen múltiples oportunidades de detección en varias etapas de ataque. Los equipos de seguridad deben centrarse en implementar un monitoreo integral en varias áreas clave:
Monitoreo de API
La fase de enumeración se basa en las API indocumentadas de Winsta.dll que difieren de la API WTSEnumerateSesionsW de Microsoft compatible oficialmente. Las soluciones de detección y respuesta de punto final (EDR) deben monitorear las llamadas de API inusuales, particularmente:
Procesos Cargando bibliotecas Winsta.dll fuera de las herramientas legítimas de Microsoft en la sesión no estándar intentos de enumeración
Monitoreo del estado de servicio
Los cambios en el servicio de registro remoto representan un punto de detección crítico. Windows Event ID 7040 captura modificaciones de estado de servicio, y las organizaciones deben implementar una alerta para:
Transiciones de servicio de registro remoto de desactivados a estados habilitados Cambios de estado de servicio rápido (habilitados y luego deshabilitado en plazos cortos) Modificaciones de servicio que se encuentran fuera de las ventanas de mantenimiento normal
Los equipos de seguridad pueden implementar reglas Sigma para detectar cambios sospechosos en el servicio de registro remoto:
Título: Detección del servicio de registro remoto Detección de habilitación: Selección: EventId: 7040 ServiceName: ‘RemoteRegistry’ OldStartType: ‘Disaped’ NewStartType: (‘Manual Start’, ‘Auto Start’) Condición: Nivel de selección: alto
Auditoría de registro
El monitoreo integral del registro representa quizás el mecanismo de detección más efectivo. Las organizaciones deben permitir la auditoría de la clave CLSID afectada e implementar el monitoreo para:
Creación clave de registro bajo sospechosas de rutas de CLSID inProcserver32 Modificaciones de subsecia RAPID REGISTRY CLAVE Patrones de creación y deleción
IDS de eventos 4657 (modificación del valor del registro), 4660 (deleción de clave de registro) y 4663 (acceso al objeto de registro) proporcionan visibilidad crucial en los intentos de manipulación del registro.
Análisis de comportamiento del proceso
La etapa de ejecución final genera artefactos de proceso distintivos que los equipos de seguridad pueden monitorear:
Bdeuisrv.exe procesos que se designan desde svchost.exe baaupdate.exe ejecuciones seguidas de procesos infantiles inusuales procesos relacionados con bitlocker que se ejecutan en contextos de usuario inesperados
La divulgación de la técnica de secuestro BitLocker COM subraya la sofisticación en evolución de las tácticas de movimiento lateral y la importancia del monitoreo integral de seguridad.
Si bien la técnica demuestra las capacidades relacionadas con las capacidades, las oportunidades de detección múltiples disponibles para los equipos de seguridad proporcionan estrategias defensivas viables.
Las organizaciones deben reconocer que incluso las características de seguridad bien diseñadas como BitLocker pueden convertirse en vectores de ataque cuando se explotan sus implementaciones subyacentes.
A medida que los actores de amenaza continúan desarrollando enfoques innovadores para el compromiso de la red, la comunidad de seguridad cibernética debe permanecer comprometida con compartir conocimiento, desarrollar mecanismos de detección sólidos y construir arquitecturas defensivas resistentes.
La investigación presentada por Fabian Mosch en Troopers 2025 proporciona información valiosa sobre las tácticas avanzadas de amenazas persistentes y enfatiza la importancia crítica de las medidas de seguridad proactivas para proteger los entornos empresariales modernos.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
