Saldırganlar, Sürücü İmza Uygulaması gibi güvenlik özelliklerini atlamak ve tamamen yamalı sistemlere rootkit dağıtmak için Windows çekirdek bileşenlerinin sürümünü düşürebilir.
Bu, işletim sisteminin tam yama uygulanmış durumunu değiştirmeden, güncel olmayan, güvenlik açığı bulunan yazılım bileşenlerini güncel bir makineye eklemek için Windows Güncelleme sürecinin kontrolünü ele alarak mümkündür.
Windows Sürümünü Düşürme
SafeBreach güvenlik araştırmacısı Alon Leviev, güncellemenin devralınması sorununu bildirdi ancak Microsoft, bunun tanımlanmış bir güvenlik sınırını aşmadığını, ancak yönetici olarak çekirdek kodunun çalıştırılmasıyla mümkün olduğunu söyleyerek bunu reddetti.
Bu yıl BlackHat ve DEFCON güvenlik konferanslarında Leviev, saldırının mümkün olduğunu ancak sorunun çözülmeden kaldığını ve sürüm düşürme/versiyon geri alma saldırılarına kapıyı açık bıraktığını gösterdi.
Araştırmacı, özel sürüm düşürmeler oluşturmaya ve görünüşte tamamen güncel olan hedef sistemi, DLL’ler, sürücüler ve NT çekirdeği gibi güncel olmayan bileşenler aracılığıyla zaten düzeltilmiş güvenlik açıklarına maruz bırakmaya olanak tanıyan Windows Downdate adlı bir araç yayınladı.
“Tamamen yamalı bir Windows makinesini geçmişteki güvenlik açıklarına karşı duyarlı hale getirmeyi, sabit güvenlik açıklarını düzeltmemeyi ve dünyadaki herhangi bir Windows makinesinde “tamamen yamalı” terimini anlamsız hale getirmeyi başardım” – Alon Leviev
Çekirdek güvenliğinin yıllar içinde önemli ölçüde iyileşmesine rağmen Leviev, bir saldırganın imzasız çekirdek sürücülerini nasıl yükleyerek güvenlik kontrollerini devre dışı bırakan ve riskin tespit edilmesine yol açabilecek etkinlikleri gizleyen rootkit kötü amaçlı yazılımlarını dağıtabildiğini gösteren Sürücü İmza Uygulaması (DSE) özelliğini atlamayı başardı.
Leviev, “Son yıllarda, Yönetici ayrıcalıklarının tehlikeye girebileceği varsayımına rağmen çekirdeğin güvenliğini güçlendirmek için önemli geliştirmeler uygulandı” diyor.
Araştırmacı, yeni korumaların çekirdeğin tehlikeye atılmasını zorlaştırmasına rağmen, “çekirdeğin içinde bulunan bileşenlerin sürümünü düşürme yeteneği, saldırganlar için işleri çok daha basit hale getiriyor” diye açıklıyor.
Leviev sömürü yöntemini adlandırdı “ItsNotASecurityBoundary” DSE bypass’ı bir parçası olduğu için yanlış dosya değişmezliği kusurlarıElastic’ten Gabriel Landau’nun araştırmasında çekirdek ayrıcalıklarıyla rastgele kod yürütmenin bir yolu olarak tanımlanan Windows’taki yeni bir güvenlik açığı sınıfı.
Landau’nun raporunun ardından Microsoft, itsNotASecurityBoundary yöneticiden çekirdeğe ayrıcalık yükseltme düzeltme ekini yayınladı. Ancak bu, sürüm düşürme saldırısına karşı koruma sağlar.
Çekirdeği hedefleme
Bugün yayınlanan yeni araştırmada Leviev, bir saldırganın tamamen güncellenmiş Windows 11 sistemlerinde bile yamalı bir bileşenin sürümünü düşürerek DSE korumalarını atlamak için Windows Update sürecinden nasıl yararlanabileceğini gösteriyor.
Saldırı, DSE’nin uygulanmasından sorumlu bir dosya olan ‘ci.dll’ dosyasının sürücü imzalarını yok sayan ve aslında Windows’un koruyucu kontrollerini atlatan yamasız bir sürümle değiştirilmesiyle mümkün oluyor.
Bu değiştirme işlemi, Windows’un ci.dll dosyasının en son kopyasını denetlemeye başlamasından hemen sonra güvenlik açığı bulunan ci.dll kopyasının belleğe yüklendiği çift okuma koşulundan yararlanan Windows Update tarafından tetiklenir.
Kaynak: SafeBreach
Bu “yarış penceresi”, Windows dosyayı doğruladığını düşünürken güvenlik açığı bulunan ci.dll dosyasının yüklenmesine olanak tanır ve böylece imzasız sürücülerin çekirdeğe yüklenmesine olanak tanır.
Aşağıdaki videoda araştırmacı, bir sürüm düşürme saldırısı yoluyla DSE yamasını nasıl geri döndürdüğünü ve ardından bileşeni tamamen yamalı bir Windows 11 23H2 makinesinde nasıl kullandığını gösteriyor.
Leviev ayrıca, güvenli çekirdek kodu bütünlüğü mekanizması gibi temel kaynakları ve güvenlik varlıklarını korumak için Windows için yalıtılmış bir ortam oluşturan Microsoft’un Sanallaştırma Tabanlı Güvenliğini (VBS) devre dışı bırakma veya atlama yöntemlerini de açıklar (skci.dll) ve kimliği doğrulanmış kullanıcı kimlik bilgileri.
VBS, yetkisiz değişiklikleri önlemek için genellikle UEFI kilitleri ve kayıt defteri yapılandırmaları gibi korumalara dayanır, ancak hedeflenen kayıt defteri anahtarı değişikliği gerçekleştirilerek maksimum güvenlikle (“Zorunlu” işaret) yapılandırılmamışsa devre dışı bırakılabilir.
Kısmen etkinleştirildiğinde, ‘SecureKernel.exe’ gibi önemli VBS dosyaları, VBS’nin çalışmasını bozan ve “ItsNotASecurityBoundary” bypassının ve ‘ci.dll’ dosyasının değiştirilmesinin yolunu açan bozuk sürümlerle değiştirilebilir.
Kaynak: SafeBreach
Leviev’in çalışması, bazen güçlü ayrıcalık önkoşulları taşısalar bile, sürüm düşürme saldırılarının hala çeşitli yollardan mümkün olduğunu gösteriyor.
Araştırmacı, kritik güvenlik sınırlarını aşmayanlar da dahil olmak üzere sürüm düşürme prosedürlerini yakından izlemek için uç nokta güvenlik araçlarına olan ihtiyacın altını çiziyor.