Araştırmacı, Windows Update sürecinde DLL’ler, sürücüler ve NT çekirdeği dahil olmak üzere kritik sistem bileşenlerinin sürümünün düşürülmesine olanak tanıyan bir güvenlik açığı keşfetti.
Bu, saldırganın Güvenli Önyükleme gibi güvenlik önlemlerini atlamasını ve daha önce yamalı güvenlik açıklarını ortaya çıkarmasını sağladı.
Credential Guard ve HVCI dahil olmak üzere, UEFI kilitleriyle bile VBS’yi devre dışı bırakmanın birçok yolu vardır ve bu, tamamen yamalı Windows sistemlerinde önemli güvenlik riskleri potansiyelini gösterir.
“ItsNotASecurityBoundary” DSE atlaması, Yanlış Dosya Değiştirilemezliği (FFI) güvenlik açığından yararlanır.
Saldırgan, sayfa hatası işleyicisindeki çift okuma koşulundan yararlanarak değişmez olarak işaretlenen dosyaları değiştirebilir.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Özellikle bir güvenlik kataloğuna uygulanan bu kusur, TOCTOU yarış koşulu sırasında saldırganın doğrulanmış bir kataloğu kötü amaçlı bir katalogla değiştirmesine olanak tanır.
Bu, sistemin geçerli bir kimlik doğrulama koduna sahip imzasız bir çekirdek sürücüsünü kabul etmesini, güvenlik önlemlerini atlamasını ve potansiyel olarak sistemi tehlikeye atmasını sağlar.
Geri alınacak düzeltme eki ci.dll dosyasında bulunur ve düzeltme eki uygulanmamış 10.0.22621.1376 sürümünün sürüm düşürmesi hedeflenir. Bu yaklaşım tamamen yamalı Windows 11 23h2 makinelerinde işe yarasa da Sanallaştırma Tabanlı Güvenliğin (VBS) varlığı zorluk teşkil etmektedir.
VBS, özellikle UEFI kilidi ve “Zorunlu” işaretiyle etkinleştirildiğinde sürüm düşürme sürecini önemli ölçüde engelleyebilir.
Farklı VBS etkinleştirme modlarını ve bunların güvenlik sonuçlarını anlamak, başarılı bir sürüm düşürme saldırısının fizibilitesini belirlemek için çok önemlidir.
Kayıt defteri değişiklikleri yoluyla devre dışı bırakıldığında, kritik sistem dosyalarının sürümü düşürülerek ve “ItsNotASecurityBoundary” gibi güvenlik açıklarından yararlanılarak istismar edilebilir. Ancak UEFI Kilidi, VBS yapılandırmasını UEFI belleniminde depolayarak ekstra bir koruma katmanı ekler.
Bu, uzaktan değişiklik yapılmasını engellese de, yerel saldırılar SecureKernel.exe gibi temel VBS bileşenlerini geçersiz kılarak onu atlayabilir; bu da saldırganların UEFI Kilidi etkin olsa bile VBS’yi devre dışı bırakmasına ve güvenlik açıklarından yararlanmasına olanak tanır.
VBS, UEFI kilidi ve “Zorunlu” bayrağıyla güvence altına alınabilir. Kilit, VBS yapılandırmasında izinsiz değişiklik yapılmasını önlerken bayrak, VBS dosyalarının bozulması durumunda sistemin arızalanmasını sağlar.
Her iki ayar da kayıt defteri aracılığıyla etkinleştirilebilir, ancak önceden yapılandırılmışsa önce kilidin kaldırılması gerekir. Yakın zamanda belgelenen “Zorunlu” bayrağı kilitle birlikte otomatik olarak ayarlanmaz ve dikkatli kullanılmalıdır.
SafeBreach tarafından yapılan son araştırmaya göre, işletim sistemi çekirdeğini de içeren birinci taraf bileşenlerin sürümünün düşürülmesi, Windows sistemleri için yeni bir tehdit vektörü olarak tanımlandı.
Saldırganlar, bu bileşenlerin daha eski, daha az güvenli sürümlerindeki güvenlik açıklarından yararlanarak modern güvenlik önlemlerini atlayabilir ve sisteme yetkisiz erişimi yeniden kazanabilir; bu, sürüm düşürme saldırısı olarak bilinir ve daha önce yamalanmış güvenlik açıklarını yeniden canlandırabileceğinden önemli bir risk oluşturur.
Uç nokta güvenlik çözümleri, geleneksel ayrıcalık yükseltme yöntemlerini içermese bile, bu nitelikteki saldırıları tespit edebilmeli ve önleyebilmelidir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!