Para contornar os recursos de segurança do Windows, em particular a aplicação de assinatura de driver, os invasores podem fazer downgrade das versões dos componentes do kernel do sistema e implantar rootkits neles. Os hackers são capazes de assumir o controle do mecanismo de atualização do Windows para introduzir componentes de software desatualizados e vulneráveis ​​na máquina atualizada – enquanto o sistema mantém formalmente seu status atualizado.

Fonte da imagem: Ricardo Resende/unsplash.com

O problema foi relatado pelo especialista em SafeBreach, Alon Leviev, mas a Microsoft o rejeitou, dizendo que não excede o nível de ameaça especificado porque permite que o código seja executado no kernel apenas com privilégios de administrador. O pesquisador desenvolveu e publicou uma ferramenta Windows Downdate que permite fazer downgrade arbitrário de componentes e reabrir vulnerabilidades já conhecidas em um sistema operacional aparentemente completamente atualizado. Ele conseguiu contornar o recurso Driver Signature Enforcement (DSE), que permite que um hipotético invasor baixe drivers não assinados e implante um rootkit que desativa os controles de segurança. Neste caso, as ações do hacker passarão despercebidas.

Ao estudar o mecanismo de reversão maliciosa de versões de componentes, Leviev descobriu uma vulnerabilidade, à qual foi atribuído o número CVE-2024-21302. Ele permite aumentar os privilégios do usuário e a Microsoft o fechou. Mas a vulnerabilidade do Windows Update continua relevante. O ataque, conforme demonstrado pelo pesquisador, é realizado por meio da substituição do arquivo ci.dll, responsável por garantir o funcionamento do DSE, por uma versão mais antiga, que dispensa a assinatura dos drivers e permite contornar medidas de segurança – um cópia vulnerável da biblioteca é carregada na memória imediatamente após o Windows começar a verificar sua cópia mais recente. Como resultado, o sistema “pensa” que verificou o arquivo e permite que drivers não assinados sejam carregados no kernel.

O especialista descreveu um método para desabilitar ou ignorar a Segurança Baseada em Virtualização da Microsoft (VBS), que cria um ambiente isolado no Windows para proteger recursos importantes. Normalmente, as alterações de UEFI e de configuração do registro são bloqueadas para isso, mas pode ser desabilitado caso não tenha configurações de segurança máxima – para isso, é necessário alterar uma das chaves do registro. Quando parcialmente desativados, alguns arquivos VBS podem ser substituídos por versões vulneráveis, abrindo a porta para interferência no Windows Update. O Sr. Leviev ressalta que os procedimentos de downgrade devem ser monitorados cuidadosamente, mesmo que esses procedimentos não excedam os níveis de ameaça especificados.

avalanche

Postagens recentes

Sber apresentou seu próprio gerador de vídeo AI baseado na descrição de texto Kandinsky 4.0 Video

Na conferência AI Journey desta semana, Sber apresentou uma versão beta da rede neural Kandinsky…

28 minutos atrás

O Google apresentou o Android XR – uma plataforma para óculos inteligentes e fones de ouvido AR do futuro

Na tentativa de ganhar uma posição no mercado de headsets de realidade virtual e óculos…

39 minutos atrás