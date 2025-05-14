El control de aplicaciones de Windows Defender (WDAC) es una característica de seguridad de Windows que ayuda a evitar que código no autorizado (como malware o ejecutables y scripts no fiables) se ejecute en un sistema. Se trata de un mecanismo de listas blancas de aplicaciones que aplica políticas que solo permiten la ejecución en un sistema de ejecutables, scripts y controladores explícitamente de confianza. Se utiliza con frecuencia en entornos de alta seguridad o estrictamente controlados donde la seguridad y la integridad del sistema son críticos, como los que el equipo de X-Force Red Adversary Simulation se encarga de probar.
Hace unas semanas, mi colega Bobby Cooke publicó una entrada de blog en la que detallaba un método para eludir incluso las políticas WDAC más estrictas mediante el backdoor de aplicaciones Electron de confianza. Recomiendo encarecidamente leer su entrada de blog para hacerse una idea de cómo las aplicaciones Electron utilizan Node.js y cómo se pueden hacer backdoors.
Como parte de esa investigación, también abrió el código abierto Loki C2, un marco de comando y control basado en Node.js. Gracias al excelente trabajo de Bobby y Dylan Tran en el desarrollo de Loki C2, el equipo de X-Force Adversary Simulation ha logrado obtener ejecución de código en interacciones en entornos reforzados que emplean WDAC.
Entonces, ¿dónde entra esta investigación? La técnica antes mencionada tiene un inconveniente: está limitado a ejecutar solo código JavaScript y no puede ejecutar código nativo, como cargar archivos DLL o ejecutar EXE. Tampoco se puede ejecutar shellcode para lanzar una carga útil C2 de la etapa 2. Esta entrada de blog trata sobre una técnica que utilizamos para eludir esas restricciones.
Para empezar, Bobby y yo empezamos a hacer ingeniería inversa de módulos de Node.js firmados cargados por aplicaciones Electron, buscando vulnerabilidades que pudieran permitir la ejecución de código a nivel de instrucción de bajo nivel. Tras una exploración inicial y por sugerencia de jeffssh, mi atención se centró en el motor V8 que usan Node.js y Chrome.
En lugar de encontrar una vulnerabilidad en un módulo de Node.js, ¿qué tal explotar el motor V8 con un día N?
El escenario de ataque es familiar: traer un binario vulnerable pero de confianza, y abusar del hecho de que es de confianza para hacerse un hueco en el sistema. En este caso, usamos una aplicación de confianza con una versión vulnerable de V8, reemplazando main.js por una explotación V8 que ejecuta la etapa 2 como carga útil, y voilà, tenemos la ejecución nativa de shellcode. Si la aplicación explotada está en lista blanca o firmada por una entidad de confianza (como Microsoft) y normalmente se le permitiría ejecutarse bajo la política WDAC empleada, puede usarse como recipiente para la carga útil maliciosa.
Además de poder ejecutar shellcode libremente, este enfoque también tiene el beneficio de ejecutar shellcode en el contexto de un proceso similar a un navegador, lo que tiene sus ventajas. Un comportamiento que, de otro modo, EDR podría marcar como sospechoso, parece normal para un navegador, como tener asignada la memoria RWX para el código Just-In-Time (JIT).
Este enfoque parecía bastante sencillo, pero tenía algunas preguntas abiertas. ¿Realmente funcionaría un exploit público de Chrome V8 N-day dentro de una app de Electron? ¿En qué se diferencia el motor V8 que se usa en Chrome respecto al de Node.js? ¿Qué modificaciones necesitará el exploit? ¿Cómo puedo depurar esto?
Resulta que existe un trabajo público sobre la explotación de exploits V8 en aplicaciones Electron, que, lamentablemente para mí, no encontré hasta después de haber terminado. Turb0 hace un excelente trabajo al cubrir el (algo agonizante) proceso de adaptar un exploit v8 público y sus correspondientes primitivas de lectura/escritura para explotar dentro de una aplicación Electron. La entrada de blog de Turb0 ya cubre muchos de los detalles técnicos detallados con los que tuve que lidiar, y le recomiendo encarecidamente que los consulte. El resto de esta entrada de blog se centrará en las etapas restantes del ciclo de desarrollo de explotación como se refiere a apuntar a Windows con el objetivo específico de crear una omisión de WDAC y los problemas que encontré al poner en funcionamiento la explotación para su uso en el mundo real.
Lo primero que tenía que hacer era averiguar los objetivos exactos. Necesitaba elegir una aplicación Electron de confianza y elegir una vulnerabilidad para explotarla. Antes de esto, tenía muy poca experiencia en la explotación de navegadores, por lo que la vulnerabilidad elegida debería tener un exploit público para usar como punto de partida.
No estaba seguro de cómo se correspondían las versiones V8 con la versión de V8 que usa Electron ni cómo saber si realmente era vulnerable. La versión de Electron de V8 a menudo va a la zaga de la última versión de Chrome V8. Los mantenedores de Electron trasladan parches de seguridad importantes de versiones más recientes a la versión que han congelado para una versión concreta de Electron. Eso significa que incluso si Electron utiliza una versión anterior de V8, no significa necesariamente que sea vulnerable a un error, ya que una corrección podría haberse retroalimentado. Los parches seleccionados que aplican se almacenan aquí.
Decidí que lo más fácil sería utilizar una vulnerabilidad que se corrigiera tras el lanzamiento de la versión de la aplicación. De esa manera, no habría ninguna posibilidad de que esa versión de la aplicación estuviera ya parcheada. Después de investigar un poco, encontré descargas de los últimos ~2 años de versiones de VSCode. Tenía una gama decente de aplicaciones vulnerables firmadas por Microsoft entre las que elegir 😊.
Para empezar, simplemente tomé un PoC de exploit V8 público reciente y con él hice una puerta trasera a la vulnerable aplicación Electron, reemplazando main.js por el exploit, y crucé los dedos. Quizá sería así de fácil, ¿no? Esperaba al menos un accidente. Para sorpresa de nadie, no sucedió nada cuando inicié la aplicación. A regañadientes, sabía que iba a necesitar crear V8 para entender lo que estaba pasando en un nivel más profundo. Al crear V8 yo mismo, podría crear la versión de depuración (d8), profundizar en el exploit y luego ajustarlo para la versión específica a la que me dirigía.
Mi primer objetivo era establecer una "verdad básica": replicar el entorno exacto en el que se sabe que funciona la explotación. Entonces, podría examinar las diferencias entre esa versión y la versión a la que apuntaba para entender qué iba mal.
La mayoría de los exploits públicos de la V8 que encontré estaban dirigidos a Linux. Así que empecé compilando la V8 en Linux, comprobando exactamente el commit que estaba dirigiendo el exploit público que elegí al final. Luego ejecuté el exploit para asegurarme de que funcionaba. Afortunadamente, así fue. Ahora ya tenía mi verdad absoluta.
A partir de ahí, compilé la versión de V8 a la que me dirigía (la misma que utiliza la aplicación Electron) pero en Linux. El exploit no funcionó desde el principio. El beneficio de construir un proyecto usted mismo es que puede tener tanta introspección en el código como necesite. En particular, V8 tiene d8, la shell independiente para el motor JavaScript V8, utilizada principalmente para probar, depurar y ejecutar código JavaScript y WebAssembly fuera de un navegador o entorno Node.js. d8 tiene funciones de depuración internas activadas con la
Con esto, podría imprimir las direcciones de los objetos de interés y ajustar los desplazamientos codificados de la explotación pública. Ahora estaba llegando a alguna parte. Solo necesitaba explotar mi código a Windows.
Compilar una versión anterior de V8 en Windows me dio muchos dolores de cabeza. Necesitaba arreglar un montón de problemas con las dependencias, así que hice algunas dudosas modificaciones de código interno. Ahora se me escapan los detalles: mi cerebro los ha bloqueado para protegerme. ¡Después de horas de lucha, por fin pude compilar la versión que necesitaba! Para mi sorpresa, el exploit de modificar Linux funcionó en Windows sin ajustes.
Ahora, todo lo que quedaba era probar el exploit en la aplicación Electron y contener la respiración... ¡Vaya, no funcionó! Pero, ¿por qué?
Al principio, tenía esperanzas porque el objetivo se cayó. Después de todo, no había adaptado la carga útil de Linux para Windows, por lo que no podía esperar que ocurriera nada interesante. Para confirmar el comportamiento, cambié la carga útil del exploit para que se ejecutara en la dirección 0x4141414141. Esta es una técnica común que los escritores de exploits utilizan para poder ver o demostrar que han obtenido el control del programa controlando la dirección del puntero de instrucción. Sin embargo, después de ver el crash en WinDbg, no veía lo que quería. Tenía un error de segmentación al sobrescribir el puntero de la función objetivo.
¿Recuerda el asunto de la selección de commits de V8 por parte de Electron del que hablaba antes? Resulta que, aunque la aplicación era vulnerable al bug que usaba para explotar, el método de escape de entorno aislado que usaba el exploit público ya estaba parcheado con un cherry pick. Si no conoce el entorno aislado V8, puede leer sobre ello aquí. Esencialmente, es una forma de dificultar la explotación de V8 en el caso de una vulnerabilidad.
Para comprender lo que estaba sucediendo, tuve que volver a compilar la versión específica de V8, esta vez aplicando los parches seleccionados. Además de los parches de seguridad, Node.js también aplica parches específicos de Node.js a la versión de V8 que utiliza Electron. Me llevó mucho tiempo darme cuenta de que necesitaba hacer esto, ya que no tenía claro cómo Electron y Node.js gestionaban sus diversas dependencias.
Después de un día o dos de intentar asegurarme de que la versión de V8 que estaba compilando era *idéntica* a la de mi objetivo y también de leer sobre técnicas recientes de escape de entorno aislado, hice progresos. Pude encontrar una técnica de escape que funcionaría para mi objetivo. Después de ajustar el exploit, finalmente pude bloquear la app con el control del puntero de instrucciones. Una dulce victoria, veía el final cerca...
En ese momento, lo único que quedaba por hacer era modificar la carga útil de los exploits del público para que ejecutara nuestra carga útil de C2 en lugar de explotar. Este cambio aparentemente sencillo resultó ser más molesto de lo que pensaba. La carga útil de Linux del exploit público era simple, para abrir un shell que solo tenía un tamaño de unos pocos bytes. La carga útil del C2 era... mucho mayor que eso.
Si conoce la codificación en shellcode, sabrá que escribir shellcode de Windows es más molesto que shellcode en Linux, principalmente porque no existe una forma sencilla de realizar llamadas al sistema directas de forma independiente de la posición como en Linux. La carga útil también tenía que "pasar de contrabando JOP" dentro de una matriz de coma flotante:
Obviamente, toda la carga útil C2 de la etapa (que tenía varios miles de bytes) no podía ejecutarse así. Así que necesitaba escribir un payload de bootstrapping que mapeara una página ejecutable, copiara la carga útil final y luego saltara a ella.
El problema con la carga útil de bootstrap es que, aunque tenía control del programa, no tenía forma de pasar argumentos a la carga útil que se ejecutaba. Así, mi shellcode de contrabando no conocería la dirección de la carga útil final de la que copiar. Lo solucioné con algo que denominé "contrabando de argumentos".
Sabía que la dirección del objeto JSFunction sobrescrito se almacenaría en el registro rcx. Así que, utilizando la primitiva de escritura arbitraria, almacené la página asignada en uno de los campos del objeto que no sería necesario. Esto requirió un poco de prueba y error, ya que sobrescribir algunos desplazamientos causaba caídas. Hice lo mismo para el valor a copiar y el desplazamiento donde copiarlo. El desplazamiento del campo podría estar codificado en el código shell, de modo que sabría de dónde copiar la carga útil. Llamé a la carga útil n número de veces, donde n es el número de bytes a copiar.
TurboFan, el compilador de optimización de V8, arruinó mis planes. Debido a las optimizaciones de TurboFan, el contrabando de secuencias de instrucciones que se traducían en varios puntos flotantes del mismo valor daría como resultado una sola instancia de ese valor en la memoria. Esto imponía limitaciones a la frecuencia con la que podían repetirse las instrucciones. Solucioné esto haciendo mi código shellcode lo más compacto posible, y también variando la posición de las instrucciones introducidas si era absolutamente necesario repetir una instrucción, de modo que el valor de coma flotante fuera diferente y no hubiera entradas repetidas.
También tuve problemas para copiar el código de shell si la carga útil de la fase 2 era demasiado grande, probablemente debido al número de veces que tuve que llamar a los mismos JSFunction y TurboFan, intentando optimizarlo. Finalmente lo solucioné copiando y pegando varios bucles en "WriteShellcode" en lugar de un bucle grande. Horriblemente feo, ¡pero funcionó! Más tarde, Bobby y Dylan cambiaron la carga útil de C2 por un organizador de pruebas que recuperaba la carga útil más grande del almacenamiento de blobs, por lo que no era necesario almacenar la carga útil final en el disco. Esto también ayudó a mantener el tamaño del archivo de main.js en un nivel razonable.
La preparación para el uso operativo real de exploits debe incluir siempre pruebas en diferentes entornos. En el contexto del compromiso, no sabíamos en qué entorno se ejecutaría la carga útil, solo que se trataba de un sistema Windows que probablemente tenía WDAC activado. Por lo tanto, el exploit debía funcionar independientemente del sistema operativo. Estaba seguro de que, dado que la versión V8 de la aplicación y todas las dependencias estaban contenidas dentro de la aplicación, no se encontraría mucha variabilidad. Me equivoqué en esa suposición.
Por razones que no entiendo, el desplazamiento del puntero de función vulnerable para sobrescribir cambió en las versiones de Windows. Esto no tenía sentido porque, según tengo entendido, la distancia de desplazamiento está determinada por el motor V8 JIT, cuyas bibliotecas se cargan directamente desde el paquete de la aplicación. Esto significa que se cargan exactamente las mismas bibliotecas V8 independientemente del sistema operativo. Para empeorar las cosas, la variación no parecía seguir ningún tipo de patrón. En algunas versiones de Windows (tanto las más antiguas como las más recientes), el desplazamiento se desviaba a veces en 4 bytes. Esto fue particularmente molesto porque no había forma (por lo que pude ver) de obtener el desplazamiento adecuado desde el exploit de JavaScript. La única forma de calcularlo era utilizar la consola de depuración para leer la dirección de memoria y hacer los cálculos, lo que obviamente no era una opción de la aplicación Electron de producción. Resumen: la variación de las compensaciones no se puede calcular en tiempo de ejecución del exploit.
Para evitar el problema del offset inconsistente, Bobby y Dylan rediseñaron el exploit para que main.js lo lanzara varias veces, probando los diferentes posibles desplazamientos hasta que funcionara. Esto se hizo haciendo que el proceso de código inicial realizara un bucle. Este bucle generaba procesos secundarios que intentaban el exploit con un desplazamiento único. Si el exploit fallaba, el proceso secundario terminaría. Si el ataque tenía éxito, entonces el shellcode se ejecutaba y escribía un archivo Mutex antes de implementar el C2 de la etapa 2. Una vez que el exploit tenía éxito, el proceso inicial salía del bucle y permanecía inactivo indefinidamente.
Aunque esto significaba que un intento de desplazamiento incorrecto causaba un fallo, nuestras pruebas revelaron que no había errores visibles para el usuario y que la funcionalidad de la aplicación seguía funcionando de manera fluida. Aunque no era la solución más limpia y era algo ruidosa por los accidentes, el tiempo era fundamental. Esto es lo que llamamos en el negocio "JIT xdev", y funcionó perfectamente para nuestras necesidades.
Obviamente no queríamos que la explotación fuera evidente si nos pillaban y alguien analizaba el punto de entrada main.js de la aplicación. Para evitarlo, aplicamos un ofuscador de JavaScript en el código de explotación, lo que lo hizo prácticamente incomprensible para el ojo humano. Gracias al talento y la dedicación de Chris Spehn, que mantiene la canalización de CI/CD de carga útil del equipo, pudimos agilizar la entrega de esta carga útil y reofuscar el código cada vez que se generaba la carga útil, por lo que pudimos reutilizar la aplicación indefinidamente con un código de exploit diferente cada vez. Esto evitó que la carga útil quedara registrada. Esto resultó especialmente útil, ya que, lamentablemente, la primera vez que intentamos utilizar la capacidad, nos pillaron porque el usuario marcó el correo electrónico de phishing 🙁. Curiosamente, aunque el equipo azul del cliente analizó la aplicación del correo electrónico de phishing, no identificaron el propósito de la aplicación ni descubrieron la explotación V8 incrustada.
Sigo sin entender muy bien por qué las compensaciones de las funciones de Jitted dependían del sistema operativo, ya que se supone que todas las bibliotecas de V8 pertinentes están incluidas en la aplicación Electron. Si alguien tiene alguna idea de por qué es así, ¡hágamelo saber!
Electron ha implementado una característica experimental para la integridad que verifica la integridad de todos los archivos de la aplicación en tiempo de ejecución. Ha estado disponible para macOS desde la versión 16 y Windows desde la versión 30. Los desarrolladores de aplicaciones pueden activar este fusible Electron para asegurarse de que no se manipula ninguno de los archivos de la aplicación. Si lo hacen, el proceso se cerrará automáticamente y no se ejecutará nada.
Esta característica impide modificar cualquier archivo empaquetado de la aplicación Electron, incluidos los main.js, y dificulta las técnicas discutidas. Sin embargo, aún no se ha implementado en las aplicaciones más populares. Si esta característica se utiliza más ampliamente, debe tenerse en cuenta que las versiones anteriores de la aplicación, anteriores a la fusión de la integridad, seguirán siendo vulnerables y utilizables para este ataque.
Bobby Cooke & Dylan Tran – Ayudando a operacionalizar el exploit
Dylan Tran – Creación de diagramas
Chris Spehn – Integración de esta carga útil en nuestra canalización de CI/CD (y todo el resto del ingrato trabajo de DevOps que ha realizado para el equipo)
jeffssh – Inspiración
jj - Ser un maestro hacker de V8 cuyos prolíficos PoC de V8 ayudaron inmensamente
