Užpuolikai gali sumažinti „Windows“ branduolio komponentų versiją, kad apeitų saugos funkcijas, tokias kaip tvarkyklės parašo vykdymas, ir visiškai pataisytose sistemose įdiegtų šaknų rinkinius.
Tai įmanoma perimant „Windows“ naujinimo proceso valdymą ir įdiegiant pasenusius, pažeidžiamus programinės įrangos komponentus atnaujintame kompiuteryje, operacinei sistemai nekeičiant visiškai pataisytos būsenos.
„Windows“ senesnė versija
„SafeBreach“ saugos tyrinėtojas Alonas Levijevas pranešė apie naujinimo perėmimo problemą, tačiau „Microsoft“ ją atmetė sakydama, kad ji neperžengė apibrėžtos saugos ribos, nors tai buvo įmanoma, kai administratorius gavo branduolio kodą.
Leviev šių metų „BlackHat“ ir „DEFCON“ saugumo konferencijose pademonstravo, kad ataka buvo įmanoma, tačiau problema lieka neišspręsta, paliekant atviras duris pažeminimo / versijos grąžinimo atakoms.
Tyrėjas paskelbė įrankį, pavadintą „Windows Downdate“, kuris leidžia sukurti pasirinktinius ankstesnių versijų atnaujinimus ir, atrodo, visiškai atnaujintą tikslinę sistemą, jau ištaisytus pažeidžiamumui naudojant pasenusius komponentus, tokius kaip DLL, tvarkyklės ir NT branduolys.
„Man pavyko padaryti visiškai pataisytą „Windows“ įrenginį jautrų praeities pažeidžiamumui, ištaisytus pažeidžiamumus paverčiau nepataisytais ir terminą „visiškai pataisyta“ paverčiau beprasmiu bet kuriame „Windows“ įrenginyje pasaulyje“ – Alonas Leviev
Nepaisant to, kad branduolio saugumas bėgant metams žymiai pagerėjo, Leviev sugebėjo apeiti Driver Signature Enforcement (DSE) funkciją, parodydamas, kaip užpuolikas gali įkelti nepasirašytus branduolio tvarkykles, kad įdiegtų rootkit kenkėjišką programinę įrangą, kuri išjungia saugos kontrolę ir paslepia veiklą, galinčią aptikti kompromisą.
„Pastaraisiais metais buvo įgyvendinti reikšmingi patobulinimai, siekiant sustiprinti branduolio saugumą, net ir darant prielaidą, kad jam gali būti pažeistos administratoriaus teisės“, – sako Leviev.
Nors naujoji apsauga apsunkina branduolio pažeidimą, „gebėjimas pažeminti komponentus, esančius branduolyje, užpuolikams daro daug paprasčiau“, – aiškina mokslininkas.
Levijevas įvardijo savo išnaudojimo metodą „ItsNotASecurityBoundary“ DSE aplinkkelis nes tai yra dalis klaidingų failų nepakeičiamumo trūkumainauja Windows pažeidžiamumo klasė, aprašyta Gabriel Landau iš Elastic tyrime kaip būdas savavališkai vykdyti kodą naudojant branduolio privilegijas.
Po Landau pranešimo „Microsoft“ pataisė „ItsNotASecurityBoundary“ administratoriaus ir branduolio privilegijų eskalavimą. Tačiau tai apsaugo nuo pažeminimo atakos.
Nukreipimas į branduolį
Šiandien paskelbtame naujame tyrime Leviev parodo, kaip užpuolikas gali išnaudoti „Windows Update“ procesą, kad apeitų DSE apsaugą, sumažindamas pataisyto komponento versiją net visiškai atnaujintose „Windows 11“ sistemose.
Ataka įmanoma pakeitus „ci.dll“, failą, atsakingą už DSE vykdymą, nepataisyta versija, kuri nepaiso tvarkyklių parašų, o tai iš esmės apeina „Windows“ apsauginius patikrinimus.
Šį pakeitimą suaktyvina „Windows“ naujinimas, išnaudodamas dvigubo skaitymo sąlygą, kai pažeidžiama ci.dll kopija įkeliama į atmintį iškart po to, kai „Windows“ pradeda tikrinti naujausią ci.dll kopiją.
Šaltinis: SafeBreach
Šis „lenktynių langas“ leidžia įkelti pažeidžiamą ci.dll, kol „Windows“ mano, kad patikrino failą, todėl į branduolį galima įkelti nepasirašytas tvarkykles.
Toliau esančiame vaizdo įraše tyrėjas demonstruoja, kaip jis grąžino DSE pataisą per žemesnės versijos ataką, o tada išnaudojo komponentą visiškai pataisytame „Windows 11 23H2“ įrenginyje.
Leviev taip pat aprašo metodus, kaip išjungti arba apeiti „Microsoft“ virtualizacija pagrįstą saugą (VBS), kuri sukuria izoliuotą „Windows“ aplinką, kad apsaugotų esminius išteklius ir saugos turtą, pvz., saugaus branduolio kodo vientisumo mechanizmą (skci.dll) ir patvirtintus vartotojo kredencialus.
VBS paprastai remiasi tokia apsauga kaip UEFI užraktai ir registro konfigūracijos, kad būtų išvengta neteisėtų pakeitimų, tačiau ją galima išjungti, jei nesukonfigūruota maksimaliai saugai („Privaloma“ žyma), atliekant tikslinį registro rakto modifikavimą.
Kai iš dalies įgalinta, pagrindiniai VBS failai, pvz., „SecureKernel.exe“, gali būti pakeisti sugadintomis versijomis, kurios sutrikdo VBS veikimą ir atveria kelią „ItsNotASecurityBoundary“ apeiti ir pakeisti „ci.dll“.
Šaltinis: SafeBreach
Levijevo darbas rodo, kad žemesnės versijos atakos vis dar galimos keliais būdais, net jei jos kartais reikalauja didelių privilegijų.
Tyrėjas pabrėžia galutinio taško saugumo įrankių poreikį, kad būtų galima atidžiai stebėti ankstesnės versijos atnaujinimo procedūras, net ir tas, kurios neperžengia kritinių saugumo ribų.
