Proteja su computadora contra vulnerabilidades de omisión de KASLR en la memoria del kernel

Proteja su computadora contra vulnerabilidades de omisión de KASLR en la memoria del kernel

El kernel de Windows funciona como un puente crucial que conecta el hardware con el sistema operativo. Gracias a sus robustas medidas de seguridad predeterminadas, es difícil que el malware se infiltre en el sistema. Sin embargo, las crecientes amenazas de omisión de KASLR ahora se aprovechan de las vulnerabilidades en los controladores Living Off the Land (LOLDrivers) y de los ataques de sincronización de caché para eludir los permisos de acceso elevados. Si bien estos ataques se han dirigido históricamente a sistemas antiguos, la evidencia sugiere que ahora amenazan Windows 11 24H2, exponiendo memoria crítica del kernel. A continuación, se incluye una guía completa sobre cómo cerrar eficazmente estas vulnerabilidades de seguridad.

Comprensión de las amenazas de elusión de KASLR

El núcleo de Windows regula meticulosamente el acceso a recursos vitales del sistema, como la memoria y el uso de la CPU. Una de las principales medidas de defensa empleadas es la Aleatorización del Diseño del Espacio de Direcciones del Kernel (KASLR), diseñada para ocultar ubicaciones de memoria, dificultando enormemente el acceso al malware a nivel de kernel. Sin embargo, avances recientes han llevado a la utilización de un nuevo controlador, eneio64.sys, que eludió con éxito las protecciones de KASLR en Windows 11 24H2 a partir de junio de 2025.

Este controlador en particular se clasifica como LOLDriver y puede ser comprometido mediante la técnica «Low Stub».En esencia, los atacantes utilizan el escaneo de memoria y conjeturas fundamentadas para determinar la dirección de memoria base del sistema. Eludir el kernel con éxito abre la puerta a una explotación en situaciones reales, lo que pone de manifiesto un nivel de amenaza crítico.

Comprobando la lista de controladores System32.

Puede inspeccionar manualmente la carpeta System32 para buscar estos controladores. Si no detecta ningún controlador problemático, significa que no están instalados o que se han eliminado correctamente.

Otro exploit notable en mayo de 2025 implicó el uso de métodos de sincronización de caché para eludir por completo KASLR. En este caso, los atacantes midieron la latencia de acceso a posibles direcciones del kernel dentro de un rango «0xfff» sin necesidad de obtener permisos como SeDebugPrivilege. Si bien este ataque se centró principalmente en Windows 10 y versiones anteriores de Windows 11 (21H2, 22H2, 23H2), es fundamental que los usuarios de Windows 11 se actualicen a 24H2 o versiones posteriores para reforzar sus defensas. Para los usuarios que experimenten problemas de compatibilidad al actualizar a 24H2, hemos compilado una lista de soluciones eficaces para facilitar una transición sin problemas.

Identificación de conductores de baja velocidad para mitigar los riesgos de derivación de KASLR

Después de 2025, las mejoras de seguridad del kernel en Windows 11 24H2 aprovecharon SeDebugPrivilege para ofrecer mayor protección. Sin embargo, actores maliciosos siguen explotando técnicas de omisión de KASLR mediante LOLDrivers para infiltrarse en la última versión de Windows 11.

Para comprobar si hay controladores del sistema problemáticos, inicie PowerShell en modo elevado y ejecute el siguiente comando:

Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName

Obtenga una lista de controladores System32 en modo elevado de PowerShell.

Tras ejecutar este comando, monitoree la salida de LOLDrivers. Algunos ejemplos de estos controladores son MsIo64.sys, nt3.sys y VBoxTap.sys. Para mayor seguridad, consulte una lista universal de LOLDrivers.

Microsoft proporciona una lista completa y actualizada de controladores bloqueados u obsoletos, que incluye los controladores LOLDrivers. Puede descargar esta lista como archivo XML y buscar específicamente controladores problemáticos como enio64.sys mediante:

Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "eneio64.sys"}

Buscando un LOLDriver específico en PowerShell, enio64.sys

El método descrito garantiza la protección de su dispositivo contra controladores LOLD vulnerables que podrían facilitar la omisión de KASLR. Una opción más sencilla consiste en acceder a Seguridad de Windows -> Seguridad del dispositivo -> Detalles de aislamiento del núcleo y confirmar que la Integridad de la memoria esté activada.

La integridad de la memoria está habilitada en el aislamiento del núcleo en Seguridad de Windows.

Las técnicas de evasión de KASLR se asemejan al comportamiento del malware de WinOS 4.0. Ambas son muy persistentes y distribuyen cargas útiles mediante una compleja cadena de ataques.

Fortalecimiento de la seguridad de Windows mediante la aplicación de SeDebugPrivilege

Los ataques de canal lateral de sincronización de caché representan un riesgo significativo asociado con las técnicas de omisión de KASLR. Cuando los atacantes explotan diversos métodos para manipular directamente la memoria del kernel, pueden exponer las direcciones del kernel sin requerir SeDebugPrivilege, una medida de seguridad crítica implementada desde la llegada de Windows 11 24H2.

Sin embargo, incluso los usuarios de Windows 10 y versiones anteriores de Windows 11 pueden reforzar sus sistemas aplicando SeDebugPrivilege. Aquí tienes una forma rápida de hacerlo:

En un dispositivo con Windows 10/11 Pro o Enterprise, presione el comando Ejecutar secpol.msce ingrese [Intro] para abrir la ventana Directiva de seguridad local. Vaya a Directivas locales -> Asignación de derechos de usuario y haga doble clic en Depurar programas.

Haga doble clic en "Depurar programas" en "Políticas locales -> Asignación de derechos de usuario".title=”Haga doble clic en "Depurar programas" en "Políticas locales -> Asignación de derechos de usuario”.width=”701″ height=”451″ loading=”lazy” class=”wp-image” src=”https://cdn.thefilibusterblog.com/wp-content/uploads/2025/06/KASLR-Bypass-Local-Security-Policies-Debug-Programs.webp”/></figure> <p>Si la opción "Depurar programas" está habilitada para un grupo de usuarios específico, como Administradores, no es necesario realizar ninguna acción adicional. De lo contrario, haga clic en "Agregar usuario o grupo" para extender este privilegio a otros usuarios.</p> <figure class=La configuración de programas de depuración está habilitada de forma predeterminada en su dispositivo.

Haga clic en «Verificar nombres» después de agregar nuevos usuarios y pulse «Aceptar». Finalmente, seleccione «Aplicar» y vuelva a pulsar «Aceptar» para finalizar los cambios.

Agregar un nombre de usuario o grupo a la lista SeDebugPrivilege.

Si usa Windows 10/11 Home, no tendrá acceso a la Política de seguridad local. En su lugar, acceda al Editor del Registro escribiendo regedit. Vaya a

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Si esta clave aún no existe, créela. Haga clic derecho para establecer un nuevo valor REG_SZ llamado SeDebugPrivilege, ajustándolo a Administrators. Recuerde siempre hacer una copia de seguridad del registro antes de realizar cualquier cambio.

Para combatir las amenazas de malware orientadas al kernel, como las omisiones de KASLR, es crucial evitar la instalación de controladores detectados por Seguridad de Windows. Si bien en raras ocasiones se requieren controladores sin firmar, es fundamental seguir las mejores prácticas al respecto. Mantener el sistema operativo actualizado y adoptar la última versión de Windows es fundamental para garantizar la seguridad del sistema.

Preguntas frecuentes

1.¿Qué es KASLR y por qué es importante para la seguridad de Windows?

KASLR, o Aleatorización del Diseño del Espacio de Direcciones del Kernel, es una función de seguridad de Windows que aleatoriza la asignación de memoria para los procesos del kernel, lo que dificulta considerablemente que el malware prediga dónde inyectar código malicioso. Esta aleatorización añade una capa de defensa crucial contra ataques a nivel de kernel.

2.¿Cómo puedo comprobar si hay controladores LOLDrivers en mi máquina Windows?

Puede comprobar fácilmente si hay controladores LOLDrivers usando PowerShell en modo elevado. Ejecute el comando Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderNamepara ver una lista de los controladores instalados actualmente en su sistema.

3.¿Qué debo hacer si mi sistema tiene controladores obsoletos o inseguros?

Si encuentra controladores obsoletos o potencialmente inseguros, se recomienda desinstalarlos y reemplazarlos con controladores seguros y actualizados recomendados por Microsoft. Además, puede descargar la lista de bloqueo de controladores más reciente de Microsoft para identificar y evitar la instalación de controladores inseguros conocidos.

Fuente e imágenes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *