Bilgisayar korsanları, yaygın kullanımı ve pazar hakimiyeti nedeniyle genellikle Microsoft Windows’u hedef alıyor. Masaüstü işletim sistemi pazar payının %80’inden fazlasına sahip olan Windows sistem güvenlik açıkları, çok sayıda istismar fırsatı sunmaktadır.
SafeBreach analistleri yakın zamanda bilgisayar korsanlarının yamalı sistemlerin sürümünü düşürmesine ve bu sistemlerden yararlanmasına olanak tanıyan yeni bir Windows Sürüm Düşürme saldırısı tespit etti.
Ağustos ayında güvenlik analisti (Alon Leviev), “Black Hat USA 2024”te “Windows Downdate”i ve kritik Windows güvenlik açıklarını açığa çıkaran “DEF CON 32”yi tanıttı.
Araç, daha önce yamalı güvenlik açıklarını etkili bir şekilde yeniden canlandıran temel işletim sistemi bileşenlerinin hedeflenen sürüm düşürmelerini gerçekleştirmek için “Windows Güncelleme”yi yönetir.
Microsoft, CVE-2024-21302’yi (Windows sanallaştırmasını etkileyen bir ayrıcalık yükseltme güvenlik açığı) ele alırken, Yöneticiden çekirdeğe kod yürütme bir güvenlik sınırı ihlali olarak sınıflandırılmadığı için temel Windows Update güvenliği yamasız kalıyor.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Bu araştırma, “DSE”yi atlayarak “imzasız çekirdek sürücülerinin” “ItsNotASecurityBoundary” istismarı yoluyla yüklenmesine olanak sağlamak için bundan yararlandı.
Bu atlama, güvenlik kataloğu doğrulamasında “FFI” güvenlik açıklarından ve “TOCTOU” yarış koşullarından yararlanılarak çalışır.
.webp)
Sürüm Düşürme Saldırısı
Özellikle, “ci.dll” dosyasının “Windows 11 23h2 sistemlerinde” 10.0.22621.1376 sürümüne düşürülmesiyle, tehdit aktörleri “UEFI kilitleri” aracılığıyla uygulananlar dahil “VBS” korumalarından kaçabilir.
Bu, “kötü amaçlı işlemleri” ve “ağ etkinliğini” gizleyebilen “rootkit’lerin” konuşlandırılmasına olanak tanır.
Saldırı, ya kayıt defteri anahtarlarını değiştirerek (standart VBS yapılandırmaları için) ya da Windows’un güvenlik mimarisinde, tam yamalı sistemlerin ele geçirilmesine izin veren kritik bir kusuru gösteren “SecureKernel.exe”yi (UEFI kilitli sistemler için) geçersiz kılarak başarılı olur. kontrollü bileşen düşüşleri.
Windows “VBS”, “Windows Kayıt Defteri” veya “Yerel Grup İlkesi Düzenleyicisi” aracılığıyla yapılandırılabilen iki temel mekanizma yoluyla geliştirilebilecek kritik bir güvenlik özelliği uygular: –
.webp)
UEFI Lock, uzaktan değişiklikleri önlemek için VBS yapılandırmasını “VbsPolicy” adı verilen özel bir “UEFI NVBS” değişkeninde saklarken, bu koruma tek başına “SecureKernel.exe’yi bozmak” (önemli bir VBS bileşeni), “sürüm düşürme” gibi karmaşık bir saldırı zinciri yoluyla atlatılabilir. ci.dll”yi (Kod Bütünlüğü modülü) savunmasız bir sürüme aktarmak ve “ItsNotASecurityBoundary” olarak bilinen “bir güvenlik açığından yararlanmak”.
Güçlü koruma sistemi oluşturmak için yöneticilerin hem “UEFI Kilidi”ni (“reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard /v Locked /t REG_DWORD /d 1 /f” kullanarak) hem de “Zorunlu” bayrağını (“kullanarak” reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard /v Zorunlu /t REG_DWORD /d 1 /f”).
Sürüm düşürme saldırıları yoluyla çekirdeğin tehlikeye atılmasını önlemek için bunların ardından sistemin yeniden başlatılması gerekir.
Bunlar özellikle tehlikelidir çünkü “DSE”den kaçabilirler ve güvenlik çözümlerinin herhangi bir şeyi aktif olarak izlemesini ve tespit etmesini gerekli kılan geleneksel “BYOVD” yaklaşımına güvenmeden “Windows çekirdeği” gibi “birinci taraf” bileşenlerdeki güvenlik açıklarından yararlanabilirler. not düşürme prosedürlerini denedi.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!