Οι εισβολείς μπορούν να υποβαθμίσουν τα στοιχεία του πυρήνα των Windows για να παρακάμψουν λειτουργίες ασφαλείας, όπως το Driver Signature Enforcement και να αναπτύξουν rootkits σε πλήρως επιδιορθωμένα συστήματα.
Αυτό είναι δυνατό με τον έλεγχο της διαδικασίας του Windows Update για την εισαγωγή ξεπερασμένων, ευάλωτων στοιχείων λογισμικού σε ένα ενημερωμένο μηχάνημα χωρίς το λειτουργικό σύστημα να αλλάξει την κατάσταση πλήρως ενημερωμένης έκδοσης κώδικα.
Υποβάθμιση των Windows
Ο ερευνητής ασφαλείας του SafeBreach, Alon Leviev, ανέφερε το ζήτημα της ανάληψης της ενημέρωσης, αλλά η Microsoft το απέρριψε λέγοντας ότι δεν ξεπέρασε ένα καθορισμένο όριο ασφαλείας, αν και ήταν δυνατό με την απόκτηση εκτέλεσης κώδικα πυρήνα ως διαχειριστής.
Leviev στο Μαύρο Καπέλο και DEFCON Τα συνέδρια ασφαλείας φέτος έδειξαν ότι η επίθεση ήταν εφικτή, αλλά το πρόβλημα παραμένει άλυτο, αφήνοντας ανοιχτή την πόρτα για επιθέσεις υποβάθμισης/επαναστροφής έκδοσης.
Ο ερευνητής δημοσίευσε ένα εργαλείο που ονομάζεται Windows Downdateπου επιτρέπει τη δημιουργία προσαρμοσμένων υποβαθμίσεων και την έκθεση ενός φαινομενικά πλήρως ενημερωμένου συστήματος στόχου σε ήδη διορθωμένα τρωτά σημεία μέσω ξεπερασμένων στοιχείων, όπως DLL, προγράμματα οδήγησης και ο πυρήνας NT.
“Μπόρεσα να κάνω ένα πλήρως επιδιορθωμένο μηχάνημα Windows επιρρεπές σε προηγούμενα τρωτά σημεία, λύνοντας τα διορθωμένα τρωτά σημεία και καθιστώντας τον όρο “πλήρως διορθωμένο” χωρίς νόημα σε οποιοδήποτε υπολογιστή Windows στον κόσμο” – Ο Άλον Λεβίεφ
Παρά το γεγονός ότι η ασφάλεια του πυρήνα βελτιώθηκε σημαντικά με τα χρόνια, ο Leviev κατάφερε να παρακάμψει τη λειτουργία Driver Signature Enforcement (DSE), δείχνοντας πώς ένας εισβολέας μπορούσε να φορτώσει ανυπόγραφα προγράμματα οδήγησης πυρήνα για να αναπτύξει κακόβουλο λογισμικό rootkit που απενεργοποιεί τους ελέγχους ασφαλείας και αποκρύπτει δραστηριότητα που θα μπορούσε να οδηγήσει στον εντοπισμό του συμβιβασμού.
“Τα τελευταία χρόνια, έχουν εφαρμοστεί σημαντικές βελτιώσεις για την ενίσχυση της ασφάλειας του πυρήνα, ακόμη και με την υπόθεση ότι θα μπορούσε να τεθεί σε κίνδυνο με τα προνόμια διαχειριστή”, λέει ο Leviev.
Ενώ οι νέες προστασίες καθιστούν πιο δύσκολο τον συμβιβασμό του πυρήνα, “η δυνατότητα υποβάθμισης στοιχείων που βρίσκονται στον πυρήνα κάνει τα πράγματα πολύ πιο απλά για τους εισβολείς”, εξηγεί ο ερευνητής.
Ο Λεβίεφ ονόμασε τη μέθοδο εκμετάλλευσής του Παράκαμψη DSE “ItsNotASecurityBoundary”. καθώς αποτελεί μέρος του ψεύτικο αρχείο ελαττώματα αμετάβλητομια νέα κατηγορία ευπάθειας στα Windows που περιγράφεται στο έρευνα από τον Gabriel Landau του Elastic ως τρόπο επίτευξης αυθαίρετης εκτέλεσης κώδικα με δικαιώματα πυρήνα.
Μετά την αναφορά του Landau, η Microsoft επιδιορθώνει την κλιμάκωση του προνομίου του ItsNotASecurityBoundary από διαχειριστή σε πυρήνα. Ωστόσο, αυτό προστατεύει από μια επίθεση υποβάθμισης.
Στόχευση του πυρήνα
Σε νέα έρευνα που δημοσιεύτηκε σήμερα, ο Leviev δείχνει πώς ένας εισβολέας θα μπορούσε να εκμεταλλευτεί τη διαδικασία του Windows Update για να παρακάμψει τις προστασίες DSE υποβαθμίζοντας ένα επιδιορθωμένο στοιχείο, ακόμη και σε πλήρως ενημερωμένα συστήματα Windows 11.
Η επίθεση είναι δυνατή αντικαθιστώντας το «ci.dll», ένα αρχείο που είναι υπεύθυνο για την επιβολή του DSE, με μια μη επιδιορθωμένη έκδοση που αγνοεί τις υπογραφές του προγράμματος οδήγησης, κάτι που ουσιαστικά παρακάμπτει τους προστατευτικούς ελέγχους των Windows.
Αυτή η αντικατάσταση ενεργοποιείται από το Windows Update, εκμεταλλευόμενη μια συνθήκη διπλής ανάγνωσης όπου το ευάλωτο αντίγραφο ci.dll φορτώνεται στη μνήμη αμέσως αφού τα Windows ξεκινήσουν τον έλεγχο του πιο πρόσφατου αντιγράφου του ci.dll.
Αυτό το “παράθυρο αγώνα” επιτρέπει στο ευάλωτο ci.dll να φορτώνει ενώ τα Windows πιστεύουν ότι έχουν επαληθεύσει το αρχείο, επιτρέποντας έτσι τη φόρτωση μη υπογεγραμμένων προγραμμάτων οδήγησης στον πυρήνα.
Στο παρακάτω βίντεο, ο ερευνητής δείχνει πώς επανέφερε την ενημερωμένη έκδοση κώδικα DSE μέσω μιας επίθεσης υποβάθμισης και, στη συνέχεια, εκμεταλλεύτηκε το στοιχείο σε έναν πλήρως διορθωμένο υπολογιστή Windows 11 23H2.
Ο Leviev περιγράφει επίσης μεθόδους απενεργοποίησης ή παράκαμψης του Virtualization-based Security (VBS) της Microsoft που δημιουργεί ένα απομονωμένο περιβάλλον για τα Windows για την προστασία των βασικών πόρων και των στοιχείων ασφαλείας, όπως ο ασφαλής μηχανισμός ακεραιότητας κώδικα πυρήνα (skci.dll) και επαληθευμένα διαπιστευτήρια χρήστη.
Το VBS βασίζεται συνήθως σε ασφάλειες όπως κλειδαριές UEFI και διαμορφώσεις μητρώου για την αποτροπή μη εξουσιοδοτημένων αλλαγών, αλλά μπορεί να απενεργοποιηθεί εάν δεν ρυθμιστεί με μέγιστη ασφάλεια (σημαία “Υποχρεωτική”) εκτελώντας στοχευμένη τροποποίηση κλειδιού μητρώου.
Όταν είναι μερικώς ενεργοποιημένα, τα βασικά αρχεία VBS όπως το ‘SecureKernel.exe’ μπορούν να αντικατασταθούν με κατεστραμμένες εκδόσεις που διακόπτουν τη λειτουργία του VBS και ανοίγουν το δρόμο για την παράκαμψη του “ItsNotASecurityBoundary” και για την αντικατάσταση του “ci.dll”.
Το έργο του Leviev δείχνει ότι οι επιθέσεις υποβάθμισης είναι ακόμα δυνατές μέσω πολλών οδών, ακόμα κι αν μερικές φορές φέρουν ισχυρές προϋποθέσεις προνομίων.
Ο ερευνητής υπογραμμίζει την ανάγκη για εργαλεία ασφάλειας τελικού σημείου για την προσεκτική παρακολούθηση των διαδικασιών υποβάθμισης, ακόμη και εκείνων που δεν υπερβαίνουν τα κρίσιμα όρια ασφαλείας.
VIA: bleepingcomputer.com