Tamamen yamalı Windows 11 sistemleri, bir saldırganın uç nokta güvenlik mekanizmalarını etkisiz hale getirebilen, kötü amaçlı işlemleri ve ağ etkinliğini gizleyebilen, güvenliği ihlal edilmiş bir sistemde kalıcılığı ve gizliliği koruyabilen ve daha fazlasını yapabilen özel rootkit’ler yüklemesine olanak tanıyan saldırılara karşı savunmasızdır.
Saldırı Windows işletim sistemini içeriyor not düşürme saldırısı SafeBreach güvenlik araştırmacısının kullandığı teknik Alon Leviev Black Hat USA 2024’te gösteri yaptı Ağustos ayında Windows Downdate adında bir yararlanma aracı geliştirdi. Leviev, bir sisteme yönetici düzeyinde erişimi olan bir saldırganın, Windows Update sürecine nasıl müdahale edebileceğini ve dinamik bağlantı kitaplıkları, sürücüler ve çekirdek de dahil olmak üzere tamamen yamalı Windows bileşenlerini daha önce savunmasız bir duruma nasıl geri döndürebileceğini gösterdi.
Windows İşletim Sistemi Sürüm Düşürme Saldırısı
Demonun bir parçası olarak araştırmacı saldırının nasıl çalışacağını gösterdi bir kuruluşun kritik işletim sistemi bileşenlerini korumak için sanallaştırma tabanlı güvenliği (VBS) etkinleştirmiş olabileceği durumlarda bile. Demonun bir parçası olarak Leviev, Microsoft’un daha önce ele aldığı ayrıcalık yükseltme güvenlik açıklarını ortaya çıkarmak için Güvenli Çekirdek ve Kimlik Bilgisi Korumasının Yalıtılmış Kullanıcı Modu Süreci gibi VBS özelliklerinin sürümünü düşürdü.
Leviev, Ağustos ayında şöyle yazmıştı: “Tamamen yamalı bir Windows makinesini geçmişteki güvenlik açıklarına karşı duyarlı hale getirebildim, düzeltilen güvenlik açıklarını düzeltemedim ve ‘tamamen yamalı’ terimini dünyadaki herhangi bir Windows makinesinde anlamsız hale getirdim.”
O zamandan beri Microsoft iki güvenlik açığını düzeltti (CVE-2024-21302 Ve CVE-2024-38202) Leviev’in saldırı zincirinin bir parçası olarak bunları keşfedip kullandıktan sonra şirkete bildirdiği. Ancak Microsoft, yönetici erişimine sahip bir saldırganın, kritik işletim sistemi bileşenlerini güvenli olmayan durumlara geri döndürmek için Windows Update işlemini kötüye kullanma yeteneğini şu ana kadar ele almadı.
Bir Güvenlik Açığı Değil mi?
Sorun, Microsoft’un, yönetici düzeyindeki bir kullanıcının çekirdek kodu yürütme becerisini bir güvenlik sınırını aşmak olarak değerlendirmeyi reddetmesiyle ilgilidir. Leviev, Dark Reading’e “Microsoft, tanımlanmış bir güvenlik sınırının aşılmasından kaynaklanan her güvenlik açığını düzeltti” dedi. “Yöneticiden çekirdeğe geçiş bir güvenlik sınırı olarak kabul edilmiyor ve dolayısıyla düzeltilmedi.”
Bunun neden bir tehdit olmaya devam ettiğini göstermek için Leviev 26 Ekim’de Yeni Windows sürüm düşürme saldırısının ayrıntıları yayınlandı Microsoft’un CVE-2024-21302 yamasıyla hafiflettiği sürücü imza zorlamasını (DSE) atlama saldırısını yeniden canlandırmak için Windows Güncelleme aracını kullanarak geliştirdi. Bir saldırganın imzasız çekirdek sürücülerini yüklemek ve özel rootkit’leri dağıtmak için sorunu nasıl kötüye kullanabileceğini gösterdi.
“‘ItsNotASecurityBoundary’ DSE bypass’ı, Yanlış Dosya Değişmezliği (FFI) olarak bilinen yeni bir kusur sınıfına aittir” Elastic Security’deki araştırmacılar Leviev, bu yılın başlarında 26 Ekim’deki gönderisinde bunu bildirdi. “Bu sınıf, dosya değişmezliğiyle ilgili yanlış varsayımlardan yararlanıyor; özellikle de yazma erişimi paylaşımının engellenmesinin dosyayı değiştirilemez hale getirmesi.”
Leviev, saldırıyı gerçekleştirmek için tek yapması gerekenin, Microsoft’un CVE-2024-21302 yamasını uyguladığı belirli işletim sistemi modülünü (CI.dll) belirlemek ve ardından modülü geri sürüme düşürmek için Güncelleme aracını kullanmak olduğunu söylüyor. onun yamasız versiyonu.
“Yalnızca sürüm düşürme ci.dll Leviev, 26 Ekim’de, yamasız sürümünün tamamen yamalı bir Windows 11 23h2 makinesine karşı iyi çalıştığını yazdı. Araştırmacı, VBS etkinleştirildiğinde veya etkinleştirilmeden bile bu sorundan yararlanabildiğini ekledi. Önyükleme işlemini güvence altına almak için UEFI kilidi ve ürün yazılımı yapılandırması. “Saldırıyı tamamen azaltmak için VBS’nin UEFI kilidi ve ‘Zorunlu’ işaretiyle etkinleştirilmesi gerekiyor. Aksi takdirde bir saldırganın VBS’yi devre dışı bırakması, sürümünü düşürmesi mümkün olabilir ci.dll, ve kusuru başarılı bir şekilde istismar ediyor” dedi.
Securonix’in kıdemli tehdit araştırmacısı Tim Peck, e-postayla gönderdiği bir yorumda, Windows Downdate saldırılarını, Windows’un DLL’leri yüklerken sürüm numaralarını her zaman doğrulamamasından yararlanılması olarak tanımladı. Bu, “saldırganların işletim sistemini (OS) istismara daha açık olan eski dosyaları kullanması için kandırmasına” olanak tanıyor, diye açıkladı. “Saldırgan, özellikle güvenlik güncellemeleri açısından Windows Defender’ın sürümünü düşürebilirse, normalde yakalanacak kötü amaçlı dosyaları veya taktikleri yürütme konusunda özgürlüğe sahip olacaktır.”
Microsoft Şimdi Bir Düzeltme Üzerinde Çalışıyor
Bir Microsoft sözcüsü, bir e-postada şirketin “bu risklere karşı koruma sağlamak için aktif olarak hafifletici önlemler geliştirdiğini” ancak hangi önlemlerin alınabileceğini veya bunların ne zaman kullanılabilir olacağını belirtmeden belirtti. Şirketin güncelleme geliştirmeyi ve uyumluluk geliştirmeyi kapsamlı bir şekilde araştırdığını yazdı.
“Bu tehdidi azaltmak için güncelliğini kaybetmiş, yama yapılmamış VBS sistem dosyalarını iptal edecek bir güvenlik güncellemesi geliştiriyoruz” diye yazdı. “Bu kadar büyük miktardaki dosyaları engellemenin karmaşıklığı nedeniyle, entegrasyon hatalarını veya gerilemeleri önlemek için sıkı testler yapılması gerekiyor.”
Microsoft ayrıca aşağıdakilerle ilgili bilgileri güncellemeye devam edecektir: CVE-2024-21302diye yazdı, ek hafifletme veya ilgili risk azaltma rehberleri mevcut olduğunda.