SafeBreach Labs, sistem bileşenlerinin sürümünü düşürerek ve DSE bypass’ı gibi eski/düzeltilmiş güvenlik açıklarını yeniden canlandırarak Windows 11’i tehlikeye sokan yeni bir saldırı yöntemi olan ‘Windows Downdate’i tanıtıyor.
Yakın zamanda yapılan bir araştırmada SafeBreach Laboratuvarları araştırmacısı Alon Leviev, tamamen yamalı Windows 11 sistemlerinin güvenliğini tehlikeye atabilecek yeni bir saldırı tekniğini ortaya çıkardı. Windows Downdate olarak adlandırılan bu teknik, kritik sistem bileşenlerinin sürümünü düşürmek ve daha önce yamalı güvenlik açıklarını etkili bir şekilde yeniden diriltmek için Windows Update işleminin manipüle edilmesini içerir.
Saldırı ilk olarak Ağustos 2024’te Black Hat USA 2024 ve DEF CON 32’de bildirildi. Araştırmacılar artık saldırının kamuoyu tarafından daha iyi anlaşılması için ek ayrıntılar yayınladı.
Bu tür bir güvenlik açığı, saldırganların imzasız çekirdek sürücülerini yüklemesine olanak tanıyan “ItsNotASecurityBoundary” Sürücü İmza Uygulaması (DSE) bypass’ıdır. Bu atlama, saldırganların doğrulanmış bir güvenlik kataloğunu kötü amaçlı bir sürümle değiştirmesine olanak tanıyarak imzasız çekirdek sürücülerinin yüklenmesini sağlar.
SafeBreach’in Cumartesi günü yayınlanmadan önce Hackread.com ile paylaştığı blog gönderisine göre, saldırganlar Windows Downdate’i kullanarak güvenlik kataloglarını ayrıştırmak için gerekli olan “ci.dll” modülü gibi belirli bileşenleri hedef alabilir ve bunların sürümünü savunmasız bir duruma düşürebilir. bu bypasstan yararlanılmasını sağlamak ve çekirdek düzeyinde ayrıcalıklar kazanmak.
Bilginiz olsun diye söylüyorum, “ItsNotASecurityBoundary” DSE atlaması, Yanlış Dosya Değişmezliği (FFI) adı verilen yeni bir kusur sınıfının parçasıdır; dosya değişmezliğiyle ilgili yanlış varsayımlardan yararlanarak “değişmez” dosyaların sistemin çalışma kümesini temizleyerek değiştirilmesine olanak tanır.
Leviev, farklı düzeylerde Sanallaştırma Tabanlı Güvenlik (VBS) korumasına sahip Windows sistemlerindeki güvenlik açıklarından yararlanma adımlarını özetlemektedir. İlk kez UEFI kilitleriyle bile Credential Guard ve Hypervisor Korumalı Kod bütünlüğü (HVCI) gibi özellikler de dahil olmak üzere VBS temel özelliklerini devre dışı bırakmanın birden fazla yolunu belirlediler.
“Bildiğim kadarıyla, VBS’nin UEFI kilitleri ilk kez fiziksel erişim olmadan atlanıyor. Sonuç olarak, tamamen yamalı bir Windows makinesini geçmişteki güvenlik açıklarına karşı duyarlı hale getirebildim, düzeltilen güvenlik açıklarını düzeltemedim ve dünyadaki herhangi bir Windows makinesinde “tamamen yamalı” terimini anlamsız hale getirdim.”
Alon Leviev
UEFI kilidi olmayan bir sistemden yararlanmak için saldırganın kayıt defteri ayarlarını değiştirerek VBS’yi devre dışı bırakması gerekir. Devre dışı bırakıldığında ci.dll modülünü güvenlik açığı bulunan bir sürüme düşürebilir ve “ItsNotASecurityBoundary” güvenlik açığından yararlanabilirler.
UEFI kilidi olan sistemlerde, saldırganın VBS korumasını atlamak için SecureKernel.exe dosyasını geçersiz kılması gerekir. Ancak UEFI Kilitli ve “Zorunlu” Bayraklı VBS en güvenli yapılandırmaydı ve kilit atlansa bile VBS’nin devre dışı bırakılmasını engelliyordu. Araştırmacılar, şu anda fiziksel erişim olmadan bu düzeyde korumaya sahip bir sistemden yararlanmanın bilinen bir yolunun bulunmadığını açıklıyor.
Bununla birlikte, Windows Update’in bu devralma yeteneği, saldırganların imzasız çekirdek sürücülerini yüklemesine, özel rootkit’lerin güvenlik kontrollerini etkisiz hale getirmesine, süreçleri gizlemesine ve gizliliği sürdürmesine izin vererek kuruluşlar için büyük bir tehdit oluşturuyor.
Saldırganlar, DLL’ler, sürücüler ve hatta NT çekirdeği dahil olmak üzere kritik işletim sistemi bileşenleri için özel sürüm düşürmeler oluşturabilir. Saldırgan, bu bileşenlerin sürümünü düşürerek daha önce yamalı güvenlik açıklarını ortaya çıkarabilir ve sistemi kötüye kullanıma açık hale getirebilir.
Riskleri azaltmak için kuruluşların, güvenlik açıklarını giderecek en son güvenlik yamalarıyla sistemlerini güncel tutması gerekir. Sürüm düşürme girişimleri de dahil olmak üzere kötü amaçlı etkinlikleri tespit etmek ve bunlara yanıt vermek için güçlü uç nokta algılama ve yanıt (EDR) çözümlerinin dağıtılması ve yetkisiz erişimi ve veri ihlallerini önlemek için güçlü ağ güvenliği önlemlerinin uygulanması çok önemlidir. Ayrıca VBS’nin UEFI kilidi ve “Zorunlu” işaretiyle etkinleştirilmesi, saldırılara karşı ek koruma sağlayabilir.
İLGİLİ KONULAR
- CUPS’a Yönelik DDoS Saldırıları İçin On Yıllık Linux Hatasından Yararlanıldı
- 7 Yıllık Önceden Yüklenmiş Google Pixel Uygulamasındaki Kusur Milyonları Riske Atıyor
- 7 Yaşındaki 0 Günlük Microsoft Office’te Kobalt Saldırısını Düşürmek İçin İstismar Edildi
- Büyük Hırsız Saldırısında Windows SmartScreen Kusuru Açık Veri Hırsızlığı
- Black Hat USA: AWS Bucket Tekel Kusuru Hesabın Devralınmasına Yol Açtı