Nova pesquisa apresentada na conferência de segurança Black Hat em Las Vegas revela que uma vulnerabilidade no Windows Update pode ser explorada para reverter o Windows para versões anteriores, expondo uma série de vulnerabilidades históricas que, então, podem ser exploradas para obter controle total de um sistema.
A Microsoft afirma que está trabalhando em um processo complexo para corrigir cuidadosamente a questão, apelidada de “Downdate”.
Alon Leviev, o pesquisador da SafeBreach Labs que descobriu a falha, diz que começou a procurar possíveis métodos de ataque de downgrade após perceber que uma surpreendente campanha de hacking do ano passado estava usando um tipo de malware (conhecido como "BlackLotus UEFI bootkit") que se baseava em reverter o gerenciador de inicialização do Windows para uma versão antiga e vulnerável.
Após investigar o fluxo do Windows Update, Leviev descobriu um caminho para estrategicamente reverter o Windows — seja o sistema operacional inteiro ou apenas componentes especificamente escolhidos.
A partir daí, ele desenvolveu um ataque de prova de conceito que utilizou esse acesso para desabilitar a proteção do Windows conhecida como Virtualization-Based Security (VBS) e, finalmente, visar código altamente privilegiado executado no “kernel” central do computador.
“Eu encontrei um exploit de downgrade que é totalmente indetectável porque é realizado usando o próprio Windows Update”, o qual o sistema confia, Leviev disse antes de sua palestra na conferência.
"Em termos de invisibilidade, eu não desinstalei nenhuma atualização — basicamente atualizei o sistema mesmo que, por baixo dos panos, ele foi revertido. Então, o sistema não está ciente do downgrade e ainda parece atualizado," finaliza ele.
A capacidade de downgrade de Leviev vem de uma falha nos componentes do processo de Windows Update.
Para realizar uma atualização, seu PC coloca o que é essencialmente um pedido de atualização em uma pasta de atualização especial.
Ele então apresenta essa pasta ao servidor de atualização da Microsoft, que verifica e confirma sua integridade.
Em seguida, o servidor cria uma pasta de atualização adicional para você, que só ele pode controlar, onde coloca e finaliza a atualização e também armazena uma lista de ações — chamada “pending.xml” — que inclui as etapas do plano de atualização, como quais arquivos serão atualizados e onde o novo código será armazenado no seu computador.
Quando você reinicia o PC, ele realiza as ações da lista e atualiza o software.
A ideia é que, mesmo que seu computador, incluindo sua pasta de atualização, esteja comprometido, um ator malicioso não pode sequestrar o processo de atualização porque as partes cruciais dele acontecem na pasta de atualização controlada pelo servidor.
Leviev observou de perto os diferentes arquivos nas pastas de atualização do usuário e do servidor, e ele eventualmente descobriu que, embora não pudesse modificar a lista de ações na pasta de atualização do servidor diretamente, uma das chaves que a controlava — chamada “PoqexecCmdline” — não estava bloqueada.
Isso deu a Leviev uma maneira de manipular a lista de ações e, com isso, todo o processo de atualização, sem que o sistema percebesse que algo estava errado.
Com esse controle, Leviev então encontrou estratégias para reverter vários componentes chave do Windows, incluindo drivers, que coordenam com periféricos de hardware; dynamic link libraries, que contêm programas e dados do sistema; e, crucialmente, o NT kernel, que contém as instruções mais centrais para um computador funcionar.
Todos eles poderiam ser revertidos para versões mais antigas que contêm vulnerabilidades conhecidas e corrigidas.
E Leviev até ampliou sua busca a partir daí, para encontrar estratégias para reverter componentes de segurança do Windows, incluindo o Windows Secure Kernel; o componente de senha e armazenamento do Windows, Credential Guard; o hypervisor, que cria e supervisiona máquinas virtuais em um sistema; e o VBS, o mecanismo de segurança de virtualização do Windows.
A técnica não inclui uma maneira de inicialmente ganhar acesso remoto a um dispositivo vítima, mas para um atacante que já tem acesso inicial, ela poderia possibilitar uma verdadeira devassa, porque o Windows Update é um mecanismo tão confiável e pode reintroduzir uma vasta gama de vulnerabilidades perigosas que foram corrigidas pela Microsoft ao longo dos anos.
A Microsoft diz que não viu nenhuma tentativa de explorar a técnica.
“Estamos ativamente desenvolvendo mitigações para proteger contra esses riscos enquanto seguimos um processo extenso que envolve uma investigação minuciosa, desenvolvimento de atualização em todas as versões afetadas e testes de compatibilidade, para garantir proteção maximizada ao cliente com mínima interrupção operacional”, disse um porta-voz da Microsoft.
Parte da correção da empresa envolve revogar arquivos de sistema VBS vulneráveis, o que deve ser feito com cuidado e gradualmente, porque isso poderia causar problemas de integração ou reintroduzir outros problemas não relacionados que foram previamente abordados por esses mesmos arquivos de sistema.
Leviev enfatiza que ataques de downgrade são uma ameaça importante para a comunidade de desenvolvedores considerar, já que hackers incessantemente buscam caminhos em sistemas alvo que são furtivos e difíceis de detectar.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...