Bugün Las Vegas’ta düzenlenen Black Hat güvenlik konferansında sunulan yeni bir araştırma, Windows Update’teki bir güvenlik açığının Windows’u eski sürümlere düşürmek için kullanılabileceğini ve daha sonra bir sistemin tam kontrolünü ele geçirmek için kullanılabilecek bir dizi tarihi güvenlik açığını açığa çıkarabileceğini gösteriyor. Microsoft, sorunu dikkatlice düzeltmek için “Downdate” olarak adlandırılan karmaşık bir süreç üzerinde çalıştığını söylüyor.
Hatayı keşfeden SafeBreach Labs araştırmacısı Alon Leviev, geçen yılki şaşırtıcı bir bilgisayar korsanlığı kampanyasının, Windows önyükleme yöneticisini eski ve savunmasız bir sürüme düşürmeye dayanan bir tür kötü amaçlı yazılım (bilinen adıyla “BlackLotus UEFI önyükleme seti”) kullandığını gördükten sonra olası düşürme saldırı yöntemleri aramaya başladığını söylüyor. Leviev, Windows Update akışını inceledikten sonra, Windows’u stratejik olarak düşürmenin bir yolunu keşfetti; tüm işletim sistemini veya yalnızca özel olarak seçilmiş bileşenleri. Oradan, Sanallaştırma Tabanlı Güvenlik (VBS) olarak bilinen Windows korumasını devre dışı bırakmak ve nihayetinde bilgisayarın çekirdek “çekirdeğinde” çalışan yüksek ayrıcalıklı kodu hedef almak için bu erişimi kullanan bir kavram kanıtı saldırısı geliştirdi.
Leviev, konferans konuşmasından önce WIRED’a verdiği demeçte, “Sistemin güvendiği Windows Update kullanılarak gerçekleştirildiği için tamamen tespit edilemeyen bir düşürme açığı buldum” dedi. “Görünmezlik açısından, hiçbir güncellemeyi kaldırmadım; temelde, arka planda düşürülmüş olmasına rağmen sistemi güncelledim. Bu nedenle sistem düşürmenin farkında değil ve hala güncel görünüyor.”
Leviev’in düşürme yeteneği, Windows Update sürecinin bileşenlerindeki bir kusurdan kaynaklanır. Bir yükseltme gerçekleştirmek için, bilgisayarınız esasen bir güncelleme isteğini özel bir güncelleme klasörüne yerleştirir. Daha sonra bu klasörü Microsoft güncelleme sunucusuna sunar, bu da bütünlüğünü kontrol eder ve onaylar. Daha sonra, sunucu yalnızca kendisinin kontrol edebileceği sizin için ek bir güncelleme klasörü oluşturur, güncellemeyi yerleştirir ve sonlandırır ve ayrıca güncelleme planının adımlarını içeren “pending.xml” adlı bir eylem listesi depolar; bu liste hangi dosyaların güncelleneceği ve yeni kodun bilgisayarınızda nerede depolanacağı gibi bilgileri içerir. Bilgisayarınızı yeniden başlattığınızda, listeden eylemleri alır ve yazılımı günceller.
Fikir, güncelleme klasörünüz de dahil olmak üzere bilgisayarınız tehlikeye girse bile, kötü niyetli bir aktörün güncelleme sürecini ele geçirememesidir çünkü bunun kritik kısımları sunucu tarafından kontrol edilen güncelleme klasöründe gerçekleşir. Leviev, hem kullanıcının güncelleme klasöründeki hem de sunucunun güncelleme klasöründeki farklı dosyalara yakından baktı ve sonunda sunucunun güncelleme klasöründeki eylem listesini doğrudan değiştiremediğini, ancak onu kontrol eden anahtarlardan birinin (adı “PoqexecCmdline”) kilitli olmadığını buldu. Bu, Leviev’e eylem listesini ve bununla birlikte tüm güncelleme sürecini, sistemin herhangi bir şeyin yanlış olduğunu fark etmeden manipüle etme yolu sağladı.
Bu kontrolle Leviev, donanım çevre birimleriyle koordine olan sürücüler, sistem programları ve verileri içeren dinamik bağlantı kitaplıkları ve en önemlisi bir bilgisayarın çalışması için en temel talimatları içeren NT çekirdeği de dahil olmak üzere Windows’un birden fazla temel bileşenini düşürmek için stratejiler buldu. Bunların hepsi, bilinen, düzeltilmiş güvenlik açıkları içeren eski sürümlere düşürülebilirdi. Ve Leviev, Windows Güvenli Çekirdek; Windows parola ve depolama bileşeni Kimlik Bilgisi Koruması; bir sistemdeki sanal makineleri oluşturan ve denetleyen hipervizör ve Windows sanallaştırma güvenlik mekanizması olan VBS dahil olmak üzere Windows güvenlik bileşenlerini düşürmek için stratejiler bulmak için oradan daha geniş bir ağ bile attı.
Bu teknik, kurban cihazına ilk önce uzaktan erişim sağlamanın bir yolunu içermiyor, ancak halihazırda ilk erişime sahip bir saldırgan için gerçek bir saldırıyı mümkün kılabilir, çünkü Windows Update çok güvenilir bir mekanizmadır ve Microsoft tarafından yıllar içinde düzeltilen çok sayıda tehlikeli güvenlik açığını yeniden ortaya çıkarabilir. Microsoft, bu tekniği istismar etmeye yönelik herhangi bir girişim görmediğini söylüyor.
Microsoft sözcüsü WIRED’a yaptığı açıklamada, “Müşteri korumasını en üst düzeye çıkarırken operasyonel kesintileri en aza indirmek için kapsamlı bir soruşturma, etkilenen tüm sürümlerde güncelleme geliştirme ve uyumluluk testi içeren kapsamlı bir süreci takip ederken, bu risklere karşı koruma sağlamak için aktif olarak azaltma önlemleri geliştiriyoruz” dedi.
Şirketin çözümünün bir parçası, güvenlik açığı bulunan VBS sistem dosyalarının iptal edilmesini içeriyor. Bu işlem dikkatli ve kademeli olarak yapılmalı çünkü bu, entegrasyon sorunlarına yol açabilir veya daha önce aynı sistem dosyaları tarafından çözülmüş, alakasız başka sorunların tekrar ortaya çıkmasına neden olabilir.
Leviev, düşürme saldırılarının geliştirici topluluğu için dikkate alınması gereken önemli bir tehdit olduğunu, çünkü bilgisayar korsanlarının gizli ve tespit edilmesi zor hedef sistemlere sızmak için durmadan yollar aradığını vurguluyor.