Атака за понижаване на Windows заплашва да разкрие системи, закърпени за наследени уязвимости

08 август 2024 гРави ЛакшмананСигурност/уязвимости в Windows

Microsoft заяви, че разработва актуализации за защита, за да се справи с две уязвимости, които според него могат да бъдат използвани за стартиране на атаки за понижаване на Windows и замяна на текущи версии на файлове на Windows с по-стари версии.

Уязвимостите са изброени по-долу –

• CVE-2024-38202 (CVSS резултат: 7.3) – Уязвимост при повишаване на привилегиите в пакета Windows Update
• CVE-2024-21302 (CVSS резултат: 6.7) – Уязвимост при повишаване на привилегиите в режим Kernel Secure Windows

Заслугата за откриването и докладването на пропуските е на изследователя на SafeBreach Labs Алон Левиев, който представи резултатите в Черна шапка САЩ 2024 И Def Con 32.

CVE-2024-38202, който се вкоренява в компонента за архивиране на Windows, позволява на „нападател с основни потребителски привилегии да въведе отново смекчени преди това уязвимости или да заобиколи определени функции за защита, базирана на виртуализация (VBS),“ каза технологичният гигант.

Въпреки това се отбелязва, че нападател, който се опитва да се възползва от уязвимостта, ще трябва да убеди системен администратор или потребител с делегирани разрешения да извърши възстановяване на системата, като по невнимание задейства уязвимостта.

Втората уязвимост също е свързана със ситуация на ескалация на привилегии на Windows системи, които поддържат VBS, което ефективно позволява на атакуващ да замени текущите версии на системните файлове на Windows с по-стари версии.

Последствията от CVE-2024-21302 са, че той може да бъде въоръжен, за да въведе отново адресирани по-рано пропуски в сигурността, да заобиколи някои функции на VBS и да извлече данни, защитени от VBS.

Левиев, който описва инструмент, който нарече Windows Downdate, Той каза Може да се използва, за да превърне „напълно закърпен компютър с Windows в уязвим на хиляди предишни уязвимости, превръщайки постоянните уязвимости в непроницаеми уязвимости и обезсмисляйки термина „напълно закърпен“ на който и да е компютър с Windows в света.“

Левиев добави, че инструментът може да „отвлече процеса на актуализиране на Windows, за да създаде неоткриваеми, невидими, постоянни и необратими актуализирани версии на основните компоненти на операционната система – което ми позволи да ескалирам привилегиите и да заобиколя функциите за сигурност.“

Освен това Windows Downdate е в състояние да заобиколи стъпките за проверка, като проверка на целостта и прилагане на доверен инсталатор, което прави възможно ефективно понижаване на критични компоненти на операционната система, включително библиотеки с динамични връзки (DLL), драйвери и NT ядро.

Освен това проблемите могат да бъдат използвани за понижаване на процеса на изолиран потребителски режим в Credential Guard, Secure Kernel и хипервайзора на Hyper-V, за да се разкрият уязвимости при ескалация на предишни привилегии, както и да се деактивира VBS, заедно с функции като Hypervisor Protected Code Integrity (HVCI) .

Крайният резултат е, че една напълно закърпена Windows система може да стане уязвима за хиляди предишни уязвимости, превръщайки фиксираните недостатъци в непоправени уязвимости.

Тези намаления имат допълнителен ефект от това, че операционната система отчита, че цялата система е актуална, като в същото време предотвратяват инсталирането на бъдещи актуализации и предотвратяват откриването им от инструменти за възстановяване и сканиране.

„Атаката за понижаване, която успях да изпълня на клъстера за виртуализация в Windows, беше възможна поради дефект в дизайна, който позволи на най-малко привилегированите виртуални нива/пръстени на доверие да актуализират компоненти, разположени в по-привилегировани виртуални нива/пръстени на доверие“, каза Левиев.

„Това беше много изненадващо, като се има предвид, че функциите на VBS на Microsoft бяха обявени през 2015 г., което означава, че повърхността за атака, която откри, съществува от почти десетилетие.“