Black Hat ερευνητής αποκαλύπτει μεθόδους αντιστροφής των patches ασφαλείας των Windows

Στο συνέδριο Black Hat στο Λας Βέγκας, ο ερευνητής κυβερνοασφάλειας Alon Leviev από την SafeBreach αποκάλυψε μια ανησυχητική μέθοδο για την αφαίρεση των επιδιορθώσεων ασφαλείας από τα μηχανήματα Windows, καθιστώντας τα ήδη διορθωμένα τρωτά σημεία εκμεταλλεύσιμα και πάλι. Αυτή η τεχνική επιτρέπει σε κακόβουλους χρήστες, εισβολείς και κακόβουλο λογισμικό με διαχειριστική πρόσβαση να αντιστρέφουν αθόρυβα τις ενημερώσεις που παρέχει η Microsoft, αφήνοντας ενδεχομένως τα συστήματα ανοιχτά χωρίς να ενεργοποιούν κανένα εργαλείο ανίχνευσης απειλών.

Η επίθεση, η οποία στοχεύει τα Windows 10, 11 και τις εκδόσεις Windows Server, περιλαμβάνει την υποβάθμιση κρίσιμων συστατικών όπως ο πυρήνας του λειτουργικού συστήματος, τα DLL, τα προγράμματα οδήγησης και ακόμη και ο hypervisor. Η προσέγγιση του Leviev είναι αθόρυβη και μη ανιχνεύσιμη, καθώς χρησιμοποιεί νόμιμες διαδικασίες ενημέρωσης για την επανεισαγωγή ευπαθειών. Αυτή η μέθοδος εμπνεύστηκε από το BlackLotus UEFI bootkit, το οποίο υποβάθμιζε ομοίως τον διαχειριστή εκκίνησης των Windows για να παρακάμψει τις προστασίες Secure Boot. Ο Leviev έδειξε πώς ολόκληρη η στοίβα εικονικοποίησης (virtualization stack), συμπεριλαμβανομένου του φρουρού διαπιστευτηρίων (credential guard) και του ασφαλούς πυρήνα (secure kernel), είναι ευάλωτη σε τέτοιες υποβαθμίσεις.

Η Microsoft ειδοποιήθηκε για αυτές τις αδυναμίες πριν από έξι μήνες και έκτοτε έχει εκδώσει δύο out-of-band συμβουλές. Η πρώτη, CVE-2024-38202, αφορά μια ευπάθεια ανύψωσης προνομίων στη στοίβα ενημερώσεων των Windows, η οποία επιτρέπει σε επιτιθέμενους με βασικά προνόμια χρήστη να αναιρέσουν επιδιορθώσεις και να θέσουν σε κίνδυνο το Virtualization Based Security (VBS). Η δεύτερη, CVE-2024-21302, αφορά την ασφαλή λειτουργία πυρήνα των Windows, η οποία μπορεί να αξιοποιηθεί από επιτιθέμενους με δικαιώματα διαχειριστή για την αντικατάσταση ασφαλών αρχείων συστήματος με ξεπερασμένες εκδόσεις, παρακάμπτοντας έτσι τις λειτουργίες VBS και αποκρύπτοντας προστατευμένα δεδομένα.

Η Microsoft εργάζεται ενεργά για την αντιμετώπιση αυτών των ευπαθειών, αν και δεν υπάρχει ακόμη πλήρης διόρθωση. Η εταιρεία προέτρεψε τους χρήστες να μελετήσουν τις συμβουλές και να λάβουν τα κατάλληλα μέτρα για την προστασία των συστημάτων τους. Το proof-of-concept εργαλείο του Leviev, με την ονομασία Windows Downdate, καταδεικνύει τη δυνατότητα πραγματοποίησης αυτών των επιθέσεων και υπογραμμίζει την ανάγκη συνεχούς επαγρύπνησης για τη διατήρηση της ασφάλειας του συστήματος.