Новая уязвимость в системе безопасности Windows
Исследователи обнаружили способ, позволяющий киберпреступникам обходить защитные функции Windows, такие как Driver Signature Enforcement (DSE), и устанавливать руткиты на полностью обновленные системы.
Способ атаки
По словам специалиста по кибербезопасности из компании SafeBreach, атака возможна путем понижения версии определенных компонентов ядра Windows. Злоумышленники могут перехватить процесс обновления Windows и добавить устаревшие, уязвимые компоненты программного обеспечения. Такие действия создают видимость «полной обновленности» системы, хотя в действительности она остается уязвимой. Даже устройства с обновленной версией Windows 11 могут стать целью такой атаки.
Рост сложности атак
Исследователь утверждает, что сообщил об этой проблеме в Microsoft, однако компания не исправила её, так как, по их мнению, атака не нарушает «границы безопасности», поскольку злоумышленнику уже требуется наличие прав администратора.
На мероприятиях Black Hat и DEF CON 2024 исследователь продемонстрировал проблему и представил инструмент Windows Downdate, который позволяет создавать понижения версии с возможностью открытия старых уязвимостей.
В ходе эксперимента удалось понизить версию компонентов Windows 11, вернуть возможность обхода DSE и использовать неподписанные драйверы. Это позволило установить руткиты, которые могут отключать средства безопасности, скрывать вредоносную активность и выполнять другие опасные действия.
Технические детали атаки
В своей атаке эксперт заменил ключевой файл Windows под названием ci.dll на версию без последних обновлений. После замены файла необходимо перезагрузить систему, что делает процесс похожим на обычное обновление. Также были продемонстрированы методы отключения или обхода системы безопасности на основе виртуализации (VBS), что значительно ослабляет защиту системы.
Ответ Microsoft
Компания Microsoft сейчас работает над исправлением проблемы, чтобы заблокировать устаревшие системные файлы и предотвратить атаки с понижением версии. Однако дата выхода данного исправления пока неизвестна, так как защита от этих атак требует тщательного тестирования для предотвращения сбоев системы.
Рекомендации
До выпуска официального исправления эксперт советует организациям тщательно следить за атаками с понижением версии.
Источник: TechRadar