Os atacantes podem rebaixar componentes do kernel do Windows para contornar recursos de segurança como o Driver Signature Enforcement e implementar rootkits em sistemas completamente atualizados.
Isso é possível assumindo o controle do processo de atualização do Windows para introduzir componentes de software desatualizados e vulneráveis em uma máquina atualizada, sem que o sistema operacional altere o status de completamente atualizado.
O pesquisador de segurança da SafeBreach, Alon Leviev, relatou o problema de tomada de controle da atualização, mas a Microsoft o descartou, dizendo que não ultrapassou um limite de segurança definido, embora fosse possível ao obter a execução de código do kernel como administrador.
Leviev demonstrou que o ataque era viável nas conferências de segurança BlackHat e DEFCON deste ano, mas o problema não está completamente resolvido, deixando aberta a porta para ataques de rebaixamento/rollback de versão.
O pesquisador publicou uma ferramenta chamada Windows Downdate, que permite criar rebaixamentos personalizados e expor um sistema alvo aparentemente completamente atualizado a vulnerabilidades já corrigidas por meio de componentes desatualizados, como DLLs, drivers e o kernel NT.
Apesar da segurança do kernel ter melhorado significativamente ao longo dos anos, Leviev conseguiu contornar o recurso Driver Signature Enforcement (DSE), mostrando como um atacante poderia carregar drivers de kernel não assinados para implantar malware rootkit que desativa controles de segurança e oculta atividades que poderiam levar à detecção do comprometimento.
“Nos últimos anos, aprimoramentos significativos foram implementados para fortalecer a segurança do kernel, mesmo sob a suposição de que ele poderia ser comprometido com privilégios de Administrador,” diz Leviev.
Embora as novas proteções tornem mais difícil o comprometimento do kernel, "a habilidade de rebaixar componentes que residem no kernel facilita muito as coisas para os atacantes," explica o pesquisador.
Leviev chama seu método de bypass "ItsNotASecurityBoundary" DSE porque é um rebaixamento do exploit ItsNotASecurityBoundary que explora falhas de imutabilidade de arquivo falsas, uma nova classe de vulnerabilidade no Windows identificada por Gabriel Landau da Elastic como uma forma de alcançar execução de código arbitrário com privilégios de kernel.
Em uma nova pesquisa publicada hoje, Leviev mostra como um atacante com privilégios de administrador em uma máquina alvo poderia explorar o processo Windows Update para contornar as proteções do DSE rebaixando um componente corrigido, mesmo em sistemas Windows 11 totalmente atualizados.
O ataque é possível substituindo o ‘ci.dll’, um arquivo responsável por impor o DSE, por uma versão não corrigida que ignora assinaturas de driver, essencialmente contornando as verificações protetivas do Windows.
Uma vez que o componente é rebaixado para uma versão vulnerável, a máquina precisa reiniciar, assim como durante um processo de atualização legítima.
No vídeo abaixo, o pesquisador demonstra como ele reverteu o patch do DSE através de um ataque de rebaixamento e depois explorou o componente em uma máquina Windows 11 23H2 totalmente atualizada.
Leviev também descreve métodos para desabilitar ou contornar a Segurança Baseada em Virtualização (VBS) da Microsoft, que cria um ambiente isolado para o Windows proteger recursos essenciais e ativos de segurança como o mecanismo de integridade de código do kernel seguro (skci.dll) e credenciais de usuário autenticadas.
O VBS geralmente depende de proteções como bloqueios UEFI e configurações de registro para impedir alterações não autorizadas, mas pode ser desabilitado se não configurado com segurança máxima (flag “Obrigatório”) ao realizar a modificação da chave de registro visada.
Quando parcialmente habilitado, arquivos-chave do VBS como ‘SecureKernel.exe’ podem ser substituídos por versões corrompidas que interrompem a operação do VBS e abrem caminho para o bypass "ItsNotASecurityBoundary" e para substituir o 'ci.dll'.
O trabalho de Leviev mostra que ataques de rebaixamento ainda são possíveis através de vários caminhos, mesmo que às vezes carreguem fortes pré-requisitos de privilégios.
Enquanto as vulnerabilidades exploradas para o ataque de rebaixamento apresentado no BlackHat e DEFCON (ou seja,
CVE-2024-21302
e
CVE-2024-38202
), a Microsoft ainda tem que abordar o problema da tomada de controle do Windows Update.
“[...] a tomada de controle do Windows Update, que também foi reportada à Microsoft, permaneceu sem correção, pois não ultrapassou um limite de segurança definido.
Obter execução de código do kernel como Administrador não é considerado como ultrapassagem de um limite de segurança (não é uma vulnerabilidade),” observa Leviev.
Até que a Microsoft corrija o problema, o pesquisador destaca que as soluções de segurança devem monitorar e detectar ataques de rebaixamento, pois continuam representando um risco significativo para as organizações.
Em uma declaração, um porta-voz da Microsoft diz que a empresa está "desenvolvendo ativamente mitigações para proteger contra esses riscos."
No entanto, o processo envolve "uma investigação completa, desenvolvimento de atualização em todas as versões afetadas e testes de compatibilidade" para garantir que os clientes estejam protegidos e a interrupção operacional seja minimizada.
A empresa está desenvolvendo uma atualização de segurança que mitiga o problema revogando arquivos do sistema VBS desatualizados e não corrigidos.
Não está claro quando a atualização estará disponível, já que o problema é complexo e requer testes abrangentes para evitar falhas de integração ou regressões.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...