Para contornar os recursos de segurança do Windows, em particular a aplicação de assinatura de driver, os invasores podem fazer downgrade das versões dos componentes do kernel do sistema e implantar rootkits neles. Os hackers são capazes de assumir o controle do mecanismo de atualização do Windows para introduzir componentes de software desatualizados e vulneráveis ​​na máquina atualizada – enquanto o sistema mantém formalmente seu status atualizado.

Fonte da imagem: Ricardo Resende/unsplash.com

O problema foi relatado pelo especialista em SafeBreach, Alon Leviev, mas a Microsoft o rejeitou, dizendo que não excede o nível de ameaça especificado porque permite que o código seja executado no kernel apenas com privilégios de administrador. O pesquisador desenvolveu e publicou uma ferramenta Windows Downdate que permite fazer downgrade arbitrário de componentes e reabrir vulnerabilidades já conhecidas em um sistema operacional aparentemente completamente atualizado. Ele conseguiu contornar o recurso Driver Signature Enforcement (DSE), que permite que um hipotético invasor baixe drivers não assinados e implante um rootkit que desativa os controles de segurança. Neste caso, as ações do hacker passarão despercebidas.

Ao estudar o mecanismo de reversão maliciosa de versões de componentes, Leviev descobriu uma vulnerabilidade, à qual foi atribuído o número CVE-2024-21302. Ele permite aumentar os privilégios do usuário e a Microsoft o fechou. Mas a vulnerabilidade do Windows Update continua relevante. O ataque, conforme demonstrado pelo pesquisador, é realizado por meio da substituição do arquivo ci.dll, responsável por garantir o funcionamento do DSE, por uma versão mais antiga, que dispensa a assinatura dos drivers e permite contornar medidas de segurança – um cópia vulnerável da biblioteca é carregada na memória imediatamente após o Windows começar a verificar sua cópia mais recente. Como resultado, o sistema “pensa” que verificou o arquivo e permite que drivers não assinados sejam carregados no kernel.

O especialista descreveu um método para desabilitar ou ignorar a Segurança Baseada em Virtualização da Microsoft (VBS), que cria um ambiente isolado no Windows para proteger recursos importantes. Normalmente, as alterações de UEFI e de configuração do registro são bloqueadas para isso, mas pode ser desabilitado caso não tenha configurações de segurança máxima – para isso, é necessário alterar uma das chaves do registro. Quando parcialmente desativados, alguns arquivos VBS podem ser substituídos por versões vulneráveis, abrindo a porta para interferência no Windows Update. O Sr. Leviev ressalta que os procedimentos de downgrade devem ser monitorados cuidadosamente, mesmo que esses procedimentos não excedam os níveis de ameaça especificados.

avalanche

Postagens recentes

Intel pensa em vender terrenos nos EUA para economizar dinheiro

A Intel Corporation está atualmente reestruturando seus ativos e tentando encontrar novos proprietários para alguns…

2 horas atrás

O robô humanóide Figure AI aprendeu a executar tarefas 4 vezes mais rápido e 7 vezes mais preciso

No início deste ano, a Figura AI apresentou seu robô humanóide de segunda geração, a…

2 horas atrás

Um concorrente da SpaceX aparecerá na Europa para entregar carga à ISS

A empresa europeia The Exploration Company poderá no futuro tornar-se concorrente da americana SpaceX no…

7 horas atrás

A Rostec importou um dos importantes elementos da eletrônica, rádios e navegadores

A holding Ruselectronics, que faz parte da estatal Rostec, criou uma linha de osciladores de…

8 horas atrás

O desenvolvimento de novos recursos da Apple para iOS estagnou

O jornalista da Bloomberg, Mark Gurman, relatou que a Apple adiou o lançamento de um…

9 horas atrás