Bir güvenlik araştırmacısı, Windows işletim sisteminde tam yama uygulanmış bir sistem kavramına meydan okuyan yeni bir tehdit keşfetti. Araştırmacı tarafından geliştirilen ‘Windows Downdate’ aracının gösterdiği yeni tehdit, kötü niyetli aktörlerin kritik yerleşik güvenlik önlemlerini atlatmasına ve sistemleri daha önce düzeltilmiş güvenlik açıklarına maruz bırakmasına olanak tanıyor.
Teknik, Windows Update sürecinin istismarı yoluyla kritik bileşenlerde tespit edilemeyen ve geri döndürülemez geri yüklemelerin dağıtılmasına dayanmaktadır.
Windows Downdate, Windows Update Mimarisini Kullanıyor
SafeBreach’teki bir araştırmacı, Windows Update sürecinin mimarisinin kalbindeki potansiyel tehdidi tanımladı. Windows güncelleme akışı, istemcinin bir güncelleme istemesi, sunucunun güncelleme klasörünün bütünlüğünü doğrulaması ve sunucunun yeniden başlatma işlemi sırasında yürütülen bir eylem listesini kaydetmesi dahil olmak üzere birkaç adımı içerir.
Araştırmacı Alon Leviev, güncelleme klasörü ve eylem listesinin çeşitli güvenlik önlemlerine tabi olmasına rağmen, güncelleme klasöründeki bütünlük kontrollerinin dijital olarak imzalanmış katalog dosyalarına odaklanması ve imzalanmamış fark dosyalarını potansiyel bir saldırı vektörü olarak bırakması nedeniyle, yine de istismar edilebilecek tasarım kusurları bulunduğunu keşfetti.
Ek olarak, araştırmacı, Güvenilir Yükleyici tarafından uygulanan ve istemci tarafından doğrudan erişilemeyen eylem listesinin, hedef alınabilen bir kayıt defteri anahtarında saklandığını buldu. Araştırmacı, Güvenilir Yükleyici’nin korumasını atlatmak ve güncelleme süreci üzerinde tam kontrol elde etmek için kayıt defteri anahtarını dikkatlice değiştirebildi.
Windows Update Mimarisi’ndeki kusurlara ilişkin bu bilgiyi kullanan araştırmacı, Windows Update sürecini devralabilen ve kritik işletim sistemi bileşenlerinde tamamen tespit edilemeyen, görünmez, kalıcı ve geri döndürülemez düşüşler oluşturabilen Windows Downdate aracını geliştirebildi.
Araştırmacının bulguları özellikle endişe verici çünkü Leviev, bu tür saldırılara karşı koruma sağlamak amacıyla tasarlanan Windows Sanallaştırma Tabanlı Güvenlik (VBS) UEFI kilitlerini aşmayı başardı.
Bu baypas, araştırmacının Credential Guard’ın Yalıtılmış Kullanıcı Modu Süreci, Güvenli Çekirdek ve Hyper-V’nin hipervizörü de dahil olmak üzere sanallaştırma yığınını düşürmesine olanak tanıdı ve geçmişteki ayrıcalık yükseltme güvenlik açıklarını açığa çıkardı.
Leviev birkaç önemli çıkarımı şöyle sıraladı:
- Artan farkındalık ve araştırmaya ihtiyaç var:Araştırmacı, işletim sistemi tabanlı düşürme saldırıları konusunda farkındalığın ve araştırmanın artırılması gerektiğini tespit etti ve ayrıca Microsoft Windows’da kritik işletim sistemi bileşenlerinin düşürülmesini engelleyen hiçbir önlem bulamadı.
- Tasarım kusurları önemli bir saldırı yüzeyi olabilirAraştırmacı, bir işletim sistemindeki tasarım özelliklerinin, özelliğin ne kadar eski olduğuna bakılmaksızın, her zaman gözden geçirilmesi ve ilgili bir saldırı yüzeyi olarak değerlendirilmesi gerektiğini vurguladı.
- Vahşi saldırıların daha ileri incelemesi: Leviev, vahşi ortamda gerçekleşen saldırıların incelenmesinin ve bunların etkilenebilecek diğer bileşenleri veya alanları da dikkate almak için kullanılmasının önemini vurguladı.
Satıcı Yanıtı ve Topluluk İşbirliği
Leviev bulguları Microsoft ile paylaştı ve şirket şu anda sorunu araştırıyor. Bu arada araştırmacı, farkındalığı artırmak ve kuruluşların kendilerini bu ortaya çıkan tehdide karşı korumalarına yardımcı olmak için daha geniş güvenlik topluluğuyla iş birliği yapmak için çalışıyor.
“SafeBreach’in koordineli bir güvenlik açığı ifşası yoluyla bu güvenlik açığını belirleme ve sorumlu bir şekilde raporlama çalışmalarını takdir ediyoruz. Kapsamlı bir soruşturma, etkilenen tüm sürümlerde güncelleme geliştirme ve uyumluluk testi içeren kapsamlı bir süreci takip ederken bu risklere karşı koruma sağlamak için etkin bir şekilde azaltma önlemleri geliştiriyoruz ve operasyonel kesintileri en aza indirerek maksimum müşteri korumasını sağlıyoruz.” -Microsoft
Microsoft, kusurlara iki farklı CVE, CVE-2024-21302 ve CVE-2024-38202 atamış ve ilgili bir güvenlik güncellemesi uyarısı paylaşmıştır. Bu bulgunun etkileri önemlidir ve işletim sistemi tabanlı düşürme saldırılarına yönelik farkındalığın ve araştırmanın artması, ayrıca bir işletim sistemi içindeki temel tasarım özelliklerinin incelenmesine öncelik verilmesi ve vahşi doğadaki saldırıların doğasının değerlendirilmesi için teşvik edicidir.
Bu tür saldırılar özellikle sinsidir çünkü Güvenli Önyükleme ve diğer güvenlik özellikleri gibi güvenlik önlemlerini aşabilir. 2023’ün başlarında, BlackLotus UEFI Bootkit, Güvenli Önyüklemeyi atlatmak ve sistemlerde kalıcılık elde etmek için bir düşürme saldırısı kullandı.