Bypass detectado en Bitlocker para Windows 10 y como evitarlo

Un experto en ciberseguridad ha descubierto hace escasos días una nueva vulnerabilidad en Windows 10, que permitiría que un atacante pueda acceder a los datos que hayas cifrado en tu equipo utilizando Bitlocker para Windows 10.

En el blog de Win-Fu se destaca el funcionamiento de este método de ataque, que básicamente lo que es explotar una característica de «diagnóstico y reparación» que permanece habilitada durante el proceso de actualización de Windows.

Existe un pequeño pero INMENSO error en la forma en que Actualización de Características (antes conocida como «Actualización») se instala. La instalación de una nueva versión se realiza desplegando una nueva imagen en la máquina, la cual es instalada mediante una versión reducida de Windows, conocida como Windows PE (Preinstallation Environment).

Esto ofrece la opción de realizar opciones de diagnóstico y recuperación si pulsamos SHIFT + F10 para obtener un Símbolo de Sistema o CMD. Pero también tiene un lado oscuro, ya que desactivará el cifrado mediante Bitcloker para los discos internos o externos al hacerlo.

Vulnerabilidad en Bitlocker para Windows 10

Es decir, que si durante el arranque presionamos Shift y F10 al mismo tiempo, se nos dará una línea de comandos que nos permitirá acceder a las unidades de almacenamiento del equipo.

Dado que Bitlocker para Windows no es capaz de proteger el equipo durante las actualizaciones (pues permanece desactivado por defecto en estos casos) esto quiere decir que alquien con acceso físico al equipo y que explote el fallo tendría acceso completo a todos nuestros archivos.

Versiones afectadas

Este problema está actualmente latente cuando actualizamos la versión de Windows inicial (Julio de 2015) y la actualizamos a una de las posteriores release, ya sea Noviembre (Windows 10 version 1511) o la actualización Aniversario, release 1607.

Es más, la vulnerabilidad también está presente en cualquier nueva versión Insider de Windows que sea publicada por Microsoft, al menos de momento.

Lo malo

El problema principal, como comenta su descubridor Sami laiho, es que no es necesario acceso administrativo a la máquina, ni software especial, ni exploits, sino simplemente saber como utilizar este servicio de Windows.

Lo bueno

Resulta evidente, dado que hablamos de un problema de seguridad a nivel local, no podrá utilizarse indiscriminadamente ni en masa.

Incluso así, mucho cuidado con portátiles o dispositivos móviles, sobre todo porque un usuario podría habilitar acceso a versiones Insider de Windows si un administrador no lo impide mediante una directiva.

Como deshabilitar versiones Insider en Windows 10

Usuarios y sobre todo empresas con activos valiosos deberían deshabilitar la opción para cambiar a versiones Insider desde las máquinas Windows 10 que puedan tener los empleados. Es sencillo:

• Abriremos el Editor de registro, escribiendo regedit.exe y pulsando Intro.
• Buscaremos la siguiente ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsSelfHost\UI\Visibility

• Haremos click secundario sobre Visibility y seleccionaremos la opción Nuevo > Valor DWORD (32 bit)
• Lo nombraremos como HideInsiderPage
• Haremos doble click sobre el elemento para editarlo y finalmente le asignaremos el valor de «1».

Si en algún momento queremos deshacer el cambio, bastará con asignar a dicha entrada de registro el valor 0.

Además, los administradores de sistemas también deberían plantearse deshabilitar las actualizaciones desatendidas en Windows 10 para impedir que este problema sea explotado en el futuro.