Специалист по кибербезопасности Алон Левиев обнаружил серьезную уязвимость в системе обновлений Windows, которая позволяет злоумышленникам обходить ключевые защитные механизмы операционной системы. Эта находка вызывает серьезную обеспокоенность в сфере информационной безопасности, так как открывает новые возможности для кибератак даже на полностью обновленные системы.
Механизм даунгрейд-атаки
Суть уязвимости заключается в возможности осуществить так называемый «даунгрейд» компонентов ядра Windows. Это означает, что атакующий может заменить современные, защищенные компоненты системы на их устаревшие, уязвимые версии. При этом общий статус системы остается «полностью обновленным», что затрудняет обнаружение атаки.
Левиев продемонстрировал, что при получении контроля над процессом Windows Update возможно внедрить уязвимые программные компоненты в обновленную систему. Это позволяет обойти такие критически важные защитные функции, как Driver Signature Enforcement (DSE), и открывает путь для установки руткитов — одного из самых опасных типов вредоносного ПО.
Инструмент Windows Downdate и его потенциальные последствия
Для демонстрации уязвимости исследователь разработал инструмент под названием Windows Downdate. Этот инструмент позволяет осуществлять даунгрейд-атаки на Windows 10, Windows 11 и Windows Server, понижая версии критических системных компонентов, таких как DLL, драйверы и ядро NT.
Последствия такой атаки могут быть крайне серьезными. Система становится уязвимой для эксплуатации уже исправленных ошибок, что потенциально позволяет злоумышленникам:
- Загружать неподписанные драйверы ядра
- Устанавливать руткиты
- Отключать защитные механизмы
- Скрывать вредоносную активность от средств обнаружения
Обход Driver Signature Enforcement
Особую опасность представляет возможность обхода механизма Driver Signature Enforcement. Левиев назвал этот метод «ItsNotASecurityBoundary», так как он связан с ранее обнаруженной уязвимостью, позволяющей выполнять произвольный код с привилегиями ядра.
Атака основана на подмене файла ci.dll, отвечающего за реализацию DSE, на уязвимую версию. Эта версия игнорирует проверку подписей драйверов, что позволяет обойти защитные механизмы Windows.
Уязвимости в Microsoft Virtualization-based Security
Исследователь также обнаружил методы обхода механизма Microsoft Virtualization-based Security (VBS). Этот компонент создает изолированную среду для защиты критически важных ресурсов, включая механизм целостности кода ядра и аутентифицированные учетные данные пользователей.
Левиев продемонстрировал, что при определенных настройках безопасности возможно отключить VBS путем модификации ключей реестра или подменить ключевые файлы VBS искаженными версиями. Это нарушает работу защитного механизма и открывает путь для дальнейших атак.
Реакция Microsoft и перспективы решения проблемы
Несмотря на серьезность обнаруженных уязвимостей (CVE-2024-38202 и CVE-2024-21302), Microsoft пока не предоставила окончательного решения проблемы. Компания заявила, что «активно разрабатывает средства защиты от этих рисков», но процесс требует времени из-за необходимости тщательного исследования, разработки обновлений для всех затронутых версий и тестирования на совместимость.
Открытие Алона Левиева подчеркивает важность постоянного совершенствования систем безопасности и необходимость комплексного подхода к защите от киберугроз. Пользователям и администраторам систем рекомендуется внимательно следить за обновлениями безопасности и применять дополнительные меры защиты, такие как использование антивирусного ПО нового поколения и систем обнаружения вторжений.
