Hakeri mogu ''oživeti'' stare, zakrpljene ranjivosti na Windowsu i preuzeti kontrolu nad sistemom

Vesti, 29.10.2024, 00:30 AM

SafeBreach Labs upozorava na „Windows Downdate“, novu metodu napada koja kompromituje Windows 11 tako što degradira (downgrade) sistemske komponente i oživljava stare/zakrpljene ranjivosti.

Istraživač SafeBreach Labsa Alon Leviev otkrio je novu tehniku napada koja bi mogla da ugrozi bezbednost potpuno zakrpljenih Windows 11 sistema. Ova tehnika, nazvana Windows Downdate, uključuje manipulisanje procesom Windows Update da bi se degradirale kritične sistemske komponente, i tako vratile ranije zakrpljene ranjivosti.

Napad je prvobitno predstavljen u avgustu 2024. na konferencijama posvećenim sajber bezbednosti Black Hat USA 2024 i DEF CON 32. SafeBreach Labs je sada objavio dodatne detalje.

Najnovija otkrića se zasnivaju na ranijoj analizi koja je otkrila dve greške u eskalaciji privilegija u procesu ažuriranja operativnog sistema Windows (CVE-2024-21302 i CVE-2024-38202), koje bi se mogle iskoristiti za vraćanje ažuriranog Windowsa na stariju verziju koja ima nezakrpljene ranjivosti. Microsoft je zakrpio ove ranjivosti 13. avgusta i 8. oktobra ove godine.

Najnoviji pristup koji je osmislio Leviev uključuje iskorišćavanje ranjivosti „ItsNotASecurityBoundary“ Driver Signature Enforcement (DSE) bypass, koja omogućava napadačima da učitavaju nepotpisane drajvere kernela. Eksploatacija se materijalizovala u obliku alatke nazvane Windows Downdate, koja bi, prema Levievu, mogla da se koristi za otmicu procesa Windows Update da bi se napravila „potpuno neprimetna, uporna i nepovratna degradacija kritičnih komponenti OS-a“.

„ItsNotASecurityBoundary“ je prvi put dokumentovao istraživač Elastic Security Labsa Gabrijel Landau u julu 2024. zajedno sa PPLFaultom, opisujući ih kao novu klasu grešaka kodnog naziva False File Immutability. Microsoft je to ispravio u maju.

Napadači mogu da ciljaju određene komponente, kao što je modul „ci.dll”, da degradiraju sistem na ranjivo stanje, omogućavanje eksploatacije ove ranjivosti i dobijanje privilegija na nivou kernela.

Leviev opisuje korake za iskorišćavanje ranjivosti u Windows sistemima sa različitim nivoima VBS (Virtualization-Based Security) zaštite. Istraživači su otkrili više načina za onemogućavanje ključnih funkcija VBS-a, uključujući funkcije kao što su Credential Guard i Hypervisor-Protected Code Integrity (HVCI), čak i sa UEFI zaključavanjem.

„Koliko znam, ovo je prvi put da je VBS-ovo UEFI zaključavanje zaobiđeno bez fizičkog pristupa. Kao rezultat toga, uspeo sam da potpuno zakrpljenu Windows mašinu učinim podložnom ranjivosti iz prošlosti, čime sam popravljene ranjivosti učinio nepopravljenim, učinivši termin „potpuno zakrpljen“ besmislenim na bilo kojoj Windows mašini na svetu.“

Da bi iskoristio sistem bez UEFI zaključavanja, napadač mora da isključi VBS izmenom podešavanja registra. Kada se isključi, napadači mogu da downgrade-uju ci.dll modul na ranjivu verziju i da iskoriste „ItsNotASecurityBoundary“ ranjivost.

Za sisteme sa UEFI zaključavanjem, napadač mora da poništi SecureKernel.exe fajl da bi zaobišao VBS zaštitu. Međutim, VBS sa UEFI zaključavanjem i oznakom „Mandatory“ je najsigurnija konfiguracija, koja sprečava da VBS bude onemogućen čak i ako se zaključavanje zaobiđe. Istraživači kažu da trenutno ne postoji poznat način da se sistem sa ovim nivoom zaštite iskoristi bez fizičkog pristupa.

Ipak, ova mogućnost preuzimanja Windows Updatea predstavlja veliku pretnju organizacijama jer omogućava hakerima da učitavaju nepotpisane drajvere kernela, neutrališu bezbednosne kontrole, sakrivaju procese i ostanu neprimećeni.

Napadači mogu kreirati prilagođene downgrade-ove za kritične komponente OS-a, uključujući DLL-ove, drajvere, pa čak i NT kernel. Degradacijom ovih komponenti, napadač može otkriti ranije zakrpljene ranjivosti, čineći sistem podložnim eksploataciji.

Foto: Sunrise King | Unsplash