Хакеры снижают уровень ядра Windows для создания руткитов и компрометации компьютеров.
Хакеры используют методы для понижения версии компонентов ядра Windows, чтобы обойти важные функции безопасности, такие как проверка подписи драйверов. Благодаря этому они могут развертывать руткиты в полностью обновленных системах, угрожая информационной безопасности компьютеров Windows, о чем мало кто из пользователей осознает.
Исследователь безопасности Алон Леваев из SafeBreach обнаружил уязвимость, позволяющую перехватывать обновления в Windows. Хотя Microsoft утверждает, что проблема не выходит за установленные границы безопасности, реальность по-прежнему показывает возможность вторжения хакеров.
Леваев создал инструмент Windows Downdate для создания пользовательских версий систем Windows, раскрывающих обнаруженные уязвимости через такие компоненты, как библиотеки DLL, драйверы и ядро NT. Это делает исправленные уязвимости уязвимыми для атак, что позволяет предположить, что безопасность ядра остается под угрозой.
Эти атаки могут обойти проверку подписи драйверов (DSE), предоставляя возможность загружать неподписанные драйверы ядра и развертывать руткиты. Это не только отключает меры безопасности, но и скрывает активность злоумышленников, что затрудняет обнаружение вторжений.
Понижая версию компонентов ядра Windows в процессе обновления, хакеры могут использовать уязвимости DSE и эффективно развертывать вредоносное ПО-руткит. Это открывает потенциальную возможность для неожиданных атак на полностью обновленные системы Windows.
Хакеры теперь имеют возможность ухудшать работу компонентов ядра Windows, пытаясь обойти важные функции безопасности, такие как проверка подписи драйверов. С помощью этого метода они могут развертывать руткиты в полностью обновленных системах. Это означает, что риски безопасности для компьютеров Windows представляют собой потенциально большую опасность, которую могут осознать лишь немногие пользователи.
В частности, эти атаки могут происходить путем контроля процесса обновления Windows. Хакеры могут внедрить в обновленный компьютер старые программные компоненты, содержащие уязвимости, исправленные операционной системой, без изменения статуса обновления операционной системы. Это создает серьезный пробел в безопасности в современных системах, где пользователи уверены, что они имеют лучшую защиту.
Понизить версию Windows
Исследователь безопасности Алон Леваев из SafeBreach сообщил об этой критической проблеме и помог обнаружить уязвимость, связанную с перехватом обновлений. Хотя Microsoft отвергла эти опасения, заявив, что проблема не выходит за установленные границы безопасности, практика по-прежнему заключается в том, что только один злоумышленник должен иметь возможность выполнить код ядра с правами администратора, чтобы сделать вторжение возможным.
На конференциях по безопасности BlackHat и DEFCON в этом году Леваев продемонстрировал, что эта атака жизнеспособна и более серьезна, но еще не полностью устранена, что открывает возможность для дальнейшего понижения рейтинга или повторных неожиданных неудач. С помощью инструмента под названием Windows Downdate Леваев позволяет пользователям создавать собственные понижения версий, которые предоставляют целевую систему, которая выглядит полностью обновленной, но на самом деле уязвима для уязвимостей, которые ранее были обнаружены с помощью устаревших компонентов, таких как библиотеки DLL, драйверы и ядро NT.
«Мне удалось сделать полностью исправленный компьютер с Windows уязвимым к прошлым уязвимостям, сделать исправленные уязвимости непропатченными и сделать термин «полностью исправленное» «исправлением» практически бессмысленным на любом компьютере с Windows в мире», — сказал Леваев.
Хотя безопасность ядра заметно улучшилась за последние годы, Леваев все же смог обойти функцию проверки подписи драйверов (DSE), предполагая, что злоумышленники могут загружать неподписанные драйверы ядра, тем самым развертывая вредоносное ПО-руткит. Это не только отключает меры безопасности, но и скрывает действия злоумышленников, которые могут привести к обнаружению вторжения в систему.
«В последние годы произошли важные улучшения в безопасности ядра. Однако даже если предположить, что его можно скомпрометировать с административными правами, всегда есть лазейки, которые упрощают задачу злоумышленникам», — подчеркнул Леваев.
Леваев назвал свой эксплойт «ItsNotASecurityBoundary» обходом DSE, поскольку он основан на уязвимостях, подделывающих неизменяемые файлы. Это новый класс уязвимостей в Windows, описанный Габриэлем Ландау из Elastic как способ добиться выполнения произвольного кода с разрешениями ядра. После того, как Ландау сообщил об этой уязвимости, Microsoft быстро исправила уязвимость «ItsNotASecurityBoundary», чтобы предотвратить повышение привилегий от администраторов к ядру. Однако исправление этой уязвимости по-прежнему не полностью защищает от атак, направленных на деградацию, как отметил Леваев.
Ориентирован на ядро
Новое исследование, опубликованное сегодня Леваевым, показывает, как злоумышленник может использовать процесс обновления Windows для обхода защиты DSE. Это можно сделать путем понижения версии исправленного компонента даже в полностью обновленных системах Windows 11. Атака возможна благодаря замене файла ci.dll, отвечающего за выполнение DSE, на непропатченную версию, игнорирующую все подписи драйверов. Этот метод по существу эффективно обходит проверки защиты Windows.
Этот процесс замены запускается в процессе Центра обновления Windows. Все это происходит за счет использования условия двойного чтения, когда уязвимая копия ci.dll загружается в память сразу после того, как Windows начинает проверять наличие последней версии ci.dll.
Это так называемое событие «гоночного окна» позволяет загрузить уязвимую ci.dll, когда Windows все еще считает, что она проверила файл, тем самым позволяя загружать в ядро неподписанные драйверы. Это не только показывает лазейку в процессе обновления Windows, но и открывает злоумышленникам потенциальный путь для развертывания вредоносного кода.
В представленном ниже видео Леваев продемонстрировал, как он восстановил патч DSE посредством атаки на деградацию и эксплуатировал компонент на полностью исправленном компьютере под управлением Windows 11 23H2. Он также без колебаний описывает методы отключения или обхода системы безопасности на основе виртуализации (VBS) Microsoft. Это функция, которая создает изолированную среду для Windows, которая защищает важные ресурсы и средства безопасности, такие как безопасный механизм целостности кода ядра (skci.dll) и установленные учетные данные пользователя, прошедшие проверку подлинности.
Оглавление статьи
Больше на 24 Gadget - Review Mobile Products
Подпишитесь, чтобы получать последние записи по электронной почте.
