Tamamen yamalı Windows sistemlerinde Microsoft’un Sürücü İmza Uygulamasını (DSE) atlamak için yeni bir saldırı tekniği kullanılabilir ve bu da işletim sistemi (OS) sürümünün düşürülmesine yol açabilir.
SafeBreach araştırmacısı Alon Leviev, The Hacker News ile paylaşılan bir raporda, “Bu bypass, imzasız çekirdek sürücülerinin yüklenmesine olanak tanıyarak, saldırganların güvenlik kontrollerini etkisiz hale getirebilen, süreçleri ve ağ etkinliğini gizleyebilen, gizliliği koruyabilen ve çok daha fazlasını yapabilen özel rootkit’leri dağıtmasına olanak tanıyor” dedi.
En son bulgular, Windows güncelleme sürecindeki (CVE-2024-21302 ve CVE-2024-38202) güncel bir Windows yazılımını daha eski bir sürüme geri döndürmek için silah olarak kullanılabilecek iki ayrıcalık yükseltme kusurunu ortaya çıkaran daha önceki bir analize dayanıyor. yamalanmamış güvenlik açıkları içeriyor.
Bu istismar, Leviev’e göre Windows Güncelleme sürecini ele geçirerek kritik işletim sistemi bileşenlerinde tamamen tespit edilemeyen, kalıcı ve geri döndürülemez sürüm düşürmeler oluşturmak için kullanılabilen Windows Downdate adlı bir araç biçiminde gerçekleştirildi.
Saldırganlara Kendi Savunmasız Sürücünüzü Getir (BYOVD) saldırılarına karşı daha iyi bir alternatif sunarak, işletim sistemi çekirdeğinin kendisi de dahil olmak üzere birinci taraf modüllerin sürümünü düşürmelerine olanak tanıdığı için bunun ciddi sonuçları olabilir.
Microsoft daha sonra Salı Yaması güncellemelerinin bir parçası olarak sırasıyla 13 Ağustos ve 8 Ekim 2024’te CVE-2024-21302 ve CVE-2024-38202’yi ele aldı.
Leviev tarafından geliştirilen en son yaklaşım, tamamen güncellenmiş bir Windows 11 sisteminde “ItsNotASecurityBoundary” DSE bypass yamasını düşürmek için sürüm düşürme aracından yararlanıyor.
itsNotASecurityBoundary ilk olarak Temmuz 2024’te Elastic Security Labs araştırmacısı Gabriel Landau tarafından PPLFault ile birlikte belgelendi ve bunları Yanlış Dosya Değişmezliği kod adlı yeni bir hata sınıfı olarak tanımladı. Microsoft, bu Mayıs ayının başlarında sorunu düzeltti.
Özetle, doğrulanmış bir güvenlik kataloğu dosyasını, imzasız bir çekirdek sürücüsü için kimlik doğrulama imzası içeren kötü amaçlı bir sürümle değiştirmek için bir yarış koşulundan yararlanıyor ve ardından saldırgan, çekirdeğin sürücüyü yüklemesini istiyor.
Çekirdek modu kütüphanesi ci.dll’yi kullanarak bir dosyanın kimliğini doğrulamak için kullanılan Microsoft’un kod bütünlüğü mekanizması, daha sonra sürücünün imzasını doğrulamak ve yüklemek için hileli güvenlik kataloğunu ayrıştırır ve saldırgana etkili bir şekilde bilgisayarda rastgele kod yürütme yeteneği verir. çekirdek.
DSE bypass’ı, Microsoft tarafından uygulamaya konulan yamayı geri almak için “ci.dll” kütüphanesini daha eski bir sürümle (10.0.22621.1376.) değiştirmek için sürüm düşürme aracı kullanılarak gerçekleştirilir.
Bununla birlikte, böyle bir baypasın başarılı olmasını engelleyebilecek bir güvenlik bariyeri vardır. Hedeflenen ana bilgisayarda Sanallaştırma Tabanlı Güvenlik (VBS) çalışıyorsa, katalog taraması ci.dll yerine Güvenli Çekirdek Kod Bütünlüğü DLL’si (skci.dll) tarafından gerçekleştirilir.
Ancak, varsayılan yapılandırmanın Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) Kilidi olmayan VBS olduğunu belirtmekte fayda var. Sonuç olarak, bir saldırgan EnableVirtualizationBasedSecurity ve RequirePlatformSecurityFeatures kayıt defteri anahtarlarını değiştirerek bu özelliği kapatabilir.
UEFI kilidinin etkinleştirildiği durumlarda bile saldırgan, çekirdek dosyalardan birini geçersiz bir dosyayla değiştirerek VBS’yi devre dışı bırakabilir. Sonuçta bir saldırganın izlemesi gereken yararlanma adımları aşağıdadır:
- Windows Kayıt Defterinde VBS’yi kapatmak veya SecureKernel.exe’yi geçersiz kılmak
- Ci.dll dosyasını yamasız sürüme düşürme
- Makinenin yeniden başlatılması
- Çekirdek düzeyinde kod yürütmeyi gerçekleştirmek için itsNotASecurityBoundary DSE atlamasından yararlanma
Başarısız olduğu tek örnek, VBS’nin bir UEFI kilidi ve “Zorunlu” işaretiyle açılmasıdır; bunlardan sonuncusu, VBS dosyaları bozulduğunda önyükleme hatasına neden olur. Zorunlu mod, kayıt defteri değişikliği yoluyla manuel olarak etkinleştirilir.
Microsoft, belgelerinde “Zorunlu ayar, Hypervisor, Secure Kernel veya bunlara bağlı modüllerden birinin yüklenememesi durumunda işletim sistemi yükleyicisinin önyüklemeye devam etmesini önler” diyor. “Bu modu etkinleştirmeden önce özel dikkat gösterilmelidir, çünkü sanallaştırma modüllerinde herhangi bir arıza olması durumunda sistem önyüklemeyi reddedecektir.”
Bu nedenle, saldırıyı tamamen azaltmak için VBS’nin UEFI kilidi ve Zorunlu bayrak seti ile etkinleştirilmesi önemlidir. Diğer herhangi bir modda, saldırganın güvenlik özelliğini kapatmasına, DDL sürümünü düşürmesine ve DSE bypass’ına erişmesine olanak tanır.
“Ana paket servis […] Leviev, The Hacker News’e verdiği demeçte, “güvenlik çözümlerinin, tanımlanmış güvenlik sınırlarını aşmayan bileşenler için bile sürüm düşürme prosedürlerini tespit etmeye ve önlemeye çalışması gerektiğidir” dedi.