Hakeri mogu ''oživeti'' stare, zakrpljene ranjivosti na Windowsu i preuzeti kontrolu nad sistemom

Vesti, 29.10.2024, 00:30 AM

Hakeri mogu ''oživeti'' stare, zakrpljene ranjivosti na Windowsu i preuzeti kontrolu nad sistemom

SafeBreach Labs upozorava na „Windows Downdate“, novu metodu napada koja kompromituje Windows 11 tako što degradira (downgrade) sistemske komponente i oživljava stare/zakrpljene ranjivosti.

Istraživač SafeBreach Labsa Alon Leviev otkrio je novu tehniku napada koja bi mogla da ugrozi bezbednost potpuno zakrpljenih Windows 11 sistema. Ova tehnika, nazvana Windows Downdate, uključuje manipulisanje procesom Windows Update da bi se degradirale kritične sistemske komponente, i tako vratile ranije zakrpljene ranjivosti.

Napad je prvobitno predstavljen u avgustu 2024. na konferencijama posvećenim sajber bezbednosti Black Hat USA 2024 i DEF CON 32. SafeBreach Labs je sada objavio dodatne detalje.

Najnovija otkrića se zasnivaju na ranijoj analizi koja je otkrila dve greške u eskalaciji privilegija u procesu ažuriranja operativnog sistema Windows (CVE-2024-21302 i CVE-2024-38202), koje bi se mogle iskoristiti za vraćanje ažuriranog Windowsa na stariju verziju koja ima nezakrpljene ranjivosti. Microsoft je zakrpio ove ranjivosti 13. avgusta i 8. oktobra ove godine.

Najnoviji pristup koji je osmislio Leviev uključuje iskorišćavanje ranjivosti „ItsNotASecurityBoundary“ Driver Signature Enforcement (DSE) bypass, koja omogućava napadačima da učitavaju nepotpisane drajvere kernela. Eksploatacija se materijalizovala u obliku alatke nazvane Windows Downdate, koja bi, prema Levievu, mogla da se koristi za otmicu procesa Windows Update da bi se napravila „potpuno neprimetna, uporna i nepovratna degradacija kritičnih komponenti OS-a“.

„ItsNotASecurityBoundary“ je prvi put dokumentovao istraživač Elastic Security Labsa Gabrijel Landau u julu 2024. zajedno sa PPLFaultom, opisujući ih kao novu klasu grešaka kodnog naziva False File Immutability. Microsoft je to ispravio u maju.

Napadači mogu da ciljaju određene komponente, kao što je modul „ci.dll”, da degradiraju sistem na ranjivo stanje, omogućavanje eksploatacije ove ranjivosti i dobijanje privilegija na nivou kernela.

Leviev opisuje korake za iskorišćavanje ranjivosti u Windows sistemima sa različitim nivoima VBS (Virtualization-Based Security) zaštite. Istraživači su otkrili više načina za onemogućavanje ključnih funkcija VBS-a, uključujući funkcije kao što su Credential Guard i Hypervisor-Protected Code Integrity (HVCI), čak i sa UEFI zaključavanjem.

„Koliko znam, ovo je prvi put da je VBS-ovo UEFI zaključavanje zaobiđeno bez fizičkog pristupa. Kao rezultat toga, uspeo sam da potpuno zakrpljenu Windows mašinu učinim podložnom ranjivosti iz prošlosti, čime sam popravljene ranjivosti učinio nepopravljenim, učinivši termin „potpuno zakrpljen“ besmislenim na bilo kojoj Windows mašini na svetu.“

Da bi iskoristio sistem bez UEFI zaključavanja, napadač mora da isključi VBS izmenom podešavanja registra. Kada se isključi, napadači mogu da downgrade-uju ci.dll modul na ranjivu verziju i da iskoriste „ItsNotASecurityBoundary“ ranjivost.

Za sisteme sa UEFI zaključavanjem, napadač mora da poništi SecureKernel.exe fajl da bi zaobišao VBS zaštitu. Međutim, VBS sa UEFI zaključavanjem i oznakom „Mandatory“ je najsigurnija konfiguracija, koja sprečava da VBS bude onemogućen čak i ako se zaključavanje zaobiđe. Istraživači kažu da trenutno ne postoji poznat način da se sistem sa ovim nivoom zaštite iskoristi bez fizičkog pristupa.

Ipak, ova mogućnost preuzimanja Windows Updatea predstavlja veliku pretnju organizacijama jer omogućava hakerima da učitavaju nepotpisane drajvere kernela, neutrališu bezbednosne kontrole, sakrivaju procese i ostanu neprimećeni.

Napadači mogu kreirati prilagođene downgrade-ove za kritične komponente OS-a, uključujući DLL-ove, drajvere, pa čak i NT kernel. Degradacijom ovih komponenti, napadač može otkriti ranije zakrpljene ranjivosti, čineći sistem podložnim eksploataciji.

Foto: Sunrise King | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

MUP apelovao na građane da budu oprezni zbog sve češćih pokušaja prevara na internetu

MUP apelovao na građane da budu oprezni zbog sve češćih pokušaja prevara na internetu

Ministarstvo unutrašnjih poslova Republike Srbije, Služba za borbu protiv visokotehnološkog kriminala i Posebno odelјenje za borbu protiv visokote... Dalje

Prihodi ransomware grupa u značajnom padu, sve više žrtava napada odbija da plati kriminalcima

Prihodi ransomware grupa u značajnom padu, sve više žrtava napada odbija da plati kriminalcima

Prošle godine isplate ransomware grupama su smanjene za 35% u odnosu na prethodnu godinu, a razlog za to je sve češće odbijanje žrtava da plate k... Dalje

Prošle godine kompromitovano više od 5 milijardi naloga

Prošle godine kompromitovano više od 5 milijardi naloga

Broj kompromitovanih naloga u 2024. porastao je osam puta u odnosu na prethodnu godinu, pri čemu je skoro polovina svih kompromitovanih naloga iz sam... Dalje

Svaki četvrti korisnik aplikacija i sajtova za upoznavanje bio je žrtva prevare

Svaki četvrti korisnik aplikacija i sajtova za upoznavanje bio je žrtva prevare

Istraživanje koje je sproveo Norton, kompanija koja stoji iza poznatog istoimenog antivirusnog softvera, pokazalo je da je skoro polovina ljudi iz 12... Dalje

Google upozorio da hakeri koje finansiraju vlade zloupotrebljavaju Gemini AI

Google upozorio da hakeri koje finansiraju vlade zloupotrebljavaju Gemini AI

U svom poslednjem izveštaju, Google je upozorio da agenti vlada različitih zemalja zloupotrebljavaju veštačku inteligenciju, tačnije njegov Gemin... Dalje