Експерт з кібербезпеки Алон Левієв виявив критичну вразливість у системі оновлень Windows, яка дозволяє зловмисникам обходити ключові механізми захисту операційної системи. Ця знахідка викликає серйозне занепокоєння у сфері інформаційної безпеки, оскільки відкриває нові можливості для кібератак навіть на повністю оновлені системи.
Механізм даунгрейд-атаки: нова загроза для Windows
Суть виявленої вразливості полягає у можливості здійснити так званий “даунгрейд” компонентів ядра Windows. Це означає, що атакуючий може замінити сучасні, захищені компоненти системи на їх застарілі, вразливі версії. При цьому загальний статус системи залишається “повністю оновленим”, що ускладнює виявлення атаки. Левієв продемонстрував, що при отриманні контролю над процесом Windows Update можливо впровадити вразливі програмні компоненти в оновлену систему.
Windows Downdate: інструмент для демонстрації вразливості
Для демонстрації вразливості дослідник розробив інструмент під назвою Windows Downdate. Цей інструмент дозволяє здійснювати даунгрейд-атаки на Windows 10, Windows 11 та Windows Server, знижуючи версії критичних системних компонентів, таких як DLL, драйвери та ядро NT. Наслідки такої атаки можуть бути вкрай серйозними:
- Завантаження непідписаних драйверів ядра
- Встановлення руткітів
- Відключення захисних механізмів
- Приховування шкідливої активності від засобів виявлення
Обхід Driver Signature Enforcement: метод “ItsNotASecurityBoundary”
Особливу небезпеку становить можливість обходу механізму Driver Signature Enforcement (DSE). Левієв назвав цей метод “ItsNotASecurityBoundary”, оскільки він пов’язаний з раніше виявленою вразливістю, що дозволяє виконувати довільний код з привілеями ядра. Атака базується на підміні файлу ci.dll, відповідального за реалізацію DSE, на вразливу версію, яка ігнорує перевірку підписів драйверів.
Вразливості в Microsoft Virtualization-based Security
Дослідник також виявив методи обходу механізму Microsoft Virtualization-based Security (VBS). Цей компонент створює ізольоване середовище для захисту критично важливих ресурсів, включаючи механізм цілісності коду ядра та автентифіковані облікові дані користувачів. Левієв продемонстрував, що при певних налаштуваннях безпеки можливо вимкнути VBS шляхом модифікації ключів реєстру або підмінити ключові файли VBS спотвореними версіями.
Реакція Microsoft та перспективи вирішення проблеми
Незважаючи на серйозність виявлених вразливостей (CVE-2024-38202 та CVE-2024-21302), Microsoft поки не надала остаточного рішення проблеми. Компанія заявила, що “активно розробляє засоби захисту від цих ризиків”, але процес вимагає часу через необхідність ретельного дослідження, розробки оновлень для всіх задіяних версій та тестування на сумісність.
Відкриття Алона Левієва підкреслює важливість постійного вдосконалення систем безпеки та необхідність комплексного підходу до захисту від кіберзагроз. Користувачам та адміністраторам систем рекомендується уважно стежити за оновленнями безпеки та застосовувати додаткові заходи захисту, такі як використання антивірусного ПЗ нового покоління та систем виявлення вторгнень. Ця ситуація нагадує про необхідність постійної пильності та адаптації до нових викликів у світі кібербезпеки.
