Para contornar os recursos de segurança do Windows, em particular a aplicação de assinatura de driver, os invasores podem fazer downgrade das versões dos componentes do kernel do sistema e implantar rootkits neles. Os hackers são capazes de assumir o controle do mecanismo de atualização do Windows para introduzir componentes de software desatualizados e vulneráveis na máquina atualizada – enquanto o sistema mantém formalmente seu status atualizado.
Fonte da imagem: Ricardo Resende/unsplash.com
O problema foi relatado pelo especialista em SafeBreach, Alon Leviev, mas a Microsoft o rejeitou, dizendo que não excede o nível de ameaça especificado porque permite que o código seja executado no kernel apenas com privilégios de administrador. O pesquisador desenvolveu e publicou uma ferramenta Windows Downdate que permite fazer downgrade arbitrário de componentes e reabrir vulnerabilidades já conhecidas em um sistema operacional aparentemente completamente atualizado. Ele conseguiu contornar o recurso Driver Signature Enforcement (DSE), que permite que um hipotético invasor baixe drivers não assinados e implante um rootkit que desativa os controles de segurança. Neste caso, as ações do hacker passarão despercebidas.
Ao estudar o mecanismo de reversão maliciosa de versões de componentes, Leviev descobriu uma vulnerabilidade, à qual foi atribuído o número CVE-2024-21302. Ele permite aumentar os privilégios do usuário e a Microsoft o fechou. Mas a vulnerabilidade do Windows Update continua relevante. O ataque, conforme demonstrado pelo pesquisador, é realizado por meio da substituição do arquivo ci.dll, responsável por garantir o funcionamento do DSE, por uma versão mais antiga, que dispensa a assinatura dos drivers e permite contornar medidas de segurança – um cópia vulnerável da biblioteca é carregada na memória imediatamente após o Windows começar a verificar sua cópia mais recente. Como resultado, o sistema “pensa” que verificou o arquivo e permite que drivers não assinados sejam carregados no kernel.
O especialista descreveu um método para desabilitar ou ignorar a Segurança Baseada em Virtualização da Microsoft (VBS), que cria um ambiente isolado no Windows para proteger recursos importantes. Normalmente, as alterações de UEFI e de configuração do registro são bloqueadas para isso, mas pode ser desabilitado caso não tenha configurações de segurança máxima – para isso, é necessário alterar uma das chaves do registro. Quando parcialmente desativados, alguns arquivos VBS podem ser substituídos por versões vulneráveis, abrindo a porta para interferência no Windows Update. O Sr. Leviev ressalta que os procedimentos de downgrade devem ser monitorados cuidadosamente, mesmo que esses procedimentos não excedam os níveis de ameaça especificados.