Hakeri mogu ''oživeti'' stare, zakrpljene ranjivosti na Windowsu i preuzeti kontrolu nad sistemom
Vesti, 29.10.2024, 00:30 AM
SafeBreach Labs upozorava na „Windows Downdate“, novu metodu napada koja kompromituje Windows 11 tako što degradira (downgrade) sistemske komponente i oživljava stare/zakrpljene ranjivosti.
Istraživač SafeBreach Labsa Alon Leviev otkrio je novu tehniku napada koja bi mogla da ugrozi bezbednost potpuno zakrpljenih Windows 11 sistema. Ova tehnika, nazvana Windows Downdate, uključuje manipulisanje procesom Windows Update da bi se degradirale kritične sistemske komponente, i tako vratile ranije zakrpljene ranjivosti.
Napad je prvobitno predstavljen u avgustu 2024. na konferencijama posvećenim sajber bezbednosti Black Hat USA 2024 i DEF CON 32. SafeBreach Labs je sada objavio dodatne detalje.
Najnovija otkrića se zasnivaju na ranijoj analizi koja je otkrila dve greške u eskalaciji privilegija u procesu ažuriranja operativnog sistema Windows (CVE-2024-21302 i CVE-2024-38202), koje bi se mogle iskoristiti za vraćanje ažuriranog Windowsa na stariju verziju koja ima nezakrpljene ranjivosti. Microsoft je zakrpio ove ranjivosti 13. avgusta i 8. oktobra ove godine.
Najnoviji pristup koji je osmislio Leviev uključuje iskorišćavanje ranjivosti „ItsNotASecurityBoundary“ Driver Signature Enforcement (DSE) bypass, koja omogućava napadačima da učitavaju nepotpisane drajvere kernela. Eksploatacija se materijalizovala u obliku alatke nazvane Windows Downdate, koja bi, prema Levievu, mogla da se koristi za otmicu procesa Windows Update da bi se napravila „potpuno neprimetna, uporna i nepovratna degradacija kritičnih komponenti OS-a“.
„ItsNotASecurityBoundary“ je prvi put dokumentovao istraživač Elastic Security Labsa Gabrijel Landau u julu 2024. zajedno sa PPLFaultom, opisujući ih kao novu klasu grešaka kodnog naziva False File Immutability. Microsoft je to ispravio u maju.
Napadači mogu da ciljaju određene komponente, kao što je modul „ci.dll”, da degradiraju sistem na ranjivo stanje, omogućavanje eksploatacije ove ranjivosti i dobijanje privilegija na nivou kernela.
Leviev opisuje korake za iskorišćavanje ranjivosti u Windows sistemima sa različitim nivoima VBS (Virtualization-Based Security) zaštite. Istraživači su otkrili više načina za onemogućavanje ključnih funkcija VBS-a, uključujući funkcije kao što su Credential Guard i Hypervisor-Protected Code Integrity (HVCI), čak i sa UEFI zaključavanjem.
„Koliko znam, ovo je prvi put da je VBS-ovo UEFI zaključavanje zaobiđeno bez fizičkog pristupa. Kao rezultat toga, uspeo sam da potpuno zakrpljenu Windows mašinu učinim podložnom ranjivosti iz prošlosti, čime sam popravljene ranjivosti učinio nepopravljenim, učinivši termin „potpuno zakrpljen“ besmislenim na bilo kojoj Windows mašini na svetu.“
Da bi iskoristio sistem bez UEFI zaključavanja, napadač mora da isključi VBS izmenom podešavanja registra. Kada se isključi, napadači mogu da downgrade-uju ci.dll modul na ranjivu verziju i da iskoriste „ItsNotASecurityBoundary“ ranjivost.
Za sisteme sa UEFI zaključavanjem, napadač mora da poništi SecureKernel.exe fajl da bi zaobišao VBS zaštitu. Međutim, VBS sa UEFI zaključavanjem i oznakom „Mandatory“ je najsigurnija konfiguracija, koja sprečava da VBS bude onemogućen čak i ako se zaključavanje zaobiđe. Istraživači kažu da trenutno ne postoji poznat način da se sistem sa ovim nivoom zaštite iskoristi bez fizičkog pristupa.
Ipak, ova mogućnost preuzimanja Windows Updatea predstavlja veliku pretnju organizacijama jer omogućava hakerima da učitavaju nepotpisane drajvere kernela, neutrališu bezbednosne kontrole, sakrivaju procese i ostanu neprimećeni.
Napadači mogu kreirati prilagođene downgrade-ove za kritične komponente OS-a, uključujući DLL-ove, drajvere, pa čak i NT kernel. Degradacijom ovih komponenti, napadač može otkriti ranije zakrpljene ranjivosti, čineći sistem podložnim eksploataciji.
Foto: Sunrise King | Unsplash
Izdvojeno
Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver
Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje
ClickFix postao najčešći način isporuke malvera
Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje
AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru
Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspeli da prevare AI pregledače i asistente da otkriju korisn... Dalje
WhatsApp uvodi korisnička imena
Kompanija Meta saopštila je da korisnici WhatsApp-a od ove nedelje mogu da rezervišu korisničko ime koje će moći da koriste kada nova funkcija po... Dalje
Lažni PDF instalira Chrome ekstenziju koja krade sesije korisnika
Istraživači upozoravaju na novu phishing kampanju u kojoj napadači koriste zlonamernu Chrome ekstenziju kako bi preuzeli kontrolu nad Windows raču... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





