28 Ekim 2024Ravie LakshmananGüvenlik Açığı / Windows Güvenliği

Tamamen yamalı Windows sistemlerinde Microsoft’un Sürücü İmza Uygulamasını (DSE) atlamak için yeni bir saldırı tekniği kullanılabilir ve bu da işletim sistemi (OS) sürümünün düşürülmesine yol açabilir.

SafeBreach araştırmacısı Alon Leviev, “Bu geçiş, imzasız çekirdek sürücülerinin yüklenmesine olanak tanıyarak, saldırganların güvenlik kontrollerini etkisiz hale getirebilen, süreçleri ve ağ etkinliğini gizleyebilen, gizliliği koruyabilen ve çok daha fazlasını yapabilen özel rootkit’leri dağıtmasına olanak tanıyor.” söz konusu The Hacker News ile paylaşılan bir raporda.

En son bulgular, Windows güncelleme sürecindeki iki ayrıcalık yükseltme kusurunu ortaya çıkaran daha önceki bir analize dayanmaktadır (CVE-2024-21302 Ve CVE-2024-38202) güncel bir Windows yazılımını yama yapılmamış güvenlik açıkları içeren daha eski bir sürüme geri döndürmek için silah olarak kullanılabilir.

Bu istismar, Leviev’e göre Windows Güncelleme sürecini ele geçirerek kritik işletim sistemi bileşenlerinde tamamen tespit edilemeyen, kalıcı ve geri döndürülemez sürüm düşürmeler oluşturmak için kullanılabilen Windows Downdate adlı bir araç biçiminde gerçekleştirildi.

Saldırganlara Kendi Savunmasız Sürücünüzü Getir’e daha iyi bir alternatif sunduğu için bunun ciddi sonuçları olabilir (BYÖVD) saldırılarişletim sistemi çekirdeğinin kendisi de dahil olmak üzere birinci taraf modüllerin sürümünü düşürmelerine olanak tanır.

Microsoft daha sonra Salı Yaması güncellemelerinin bir parçası olarak sırasıyla 13 Ağustos ve 8 Ekim 2024’te CVE-2024-21302 ve CVE-2024-38202’yi ele aldı.

Leviev tarafından geliştirilen en son yaklaşım, tamamen güncellenmiş bir Windows 11 sisteminde “ItsNotASecurityBoundary” DSE bypass yamasını düşürmek için sürüm düşürme aracından yararlanıyor.

ItNotASecurityBoundary (önceki değeri) ilk belgelenen Elastic Security Labs araştırmacısı Gabriel Landau tarafından Temmuz 2024’te PPLFault ile birlikte, bunları Yanlış Dosya Değişmezliği kod adlı yeni bir hata sınıfı olarak tanımladı. Microsoft bu Mayıs ayının başlarında sorunu düzeltti.

Özetle, doğrulanmış bir aracı değiştirmek için bir yarış koşulundan yararlanıyor. güvenlik katalog dosyası imzasız bir çekirdek sürücüsü için kimlik doğrulama imzası içeren kötü amaçlı bir sürümle, ardından saldırgan çekirdeğin sürücüyü yüklemesini ister.

Çekirdek modu kitaplığını kullanarak bir dosyanın kimliğini doğrulamak için kullanılan Microsoft’un kod bütünlüğü mekanizması ci.dlldaha sonra sürücünün imzasını doğrulamak ve yüklemek için sahte güvenlik kataloğunu ayrıştırır ve saldırgana etkili bir şekilde çekirdekte rastgele kod yürütme yeteneği verir.

İşletim Sistemi Sürüm Düşürme Güvenlik Açığı

DSE bypass’ı, Microsoft tarafından uygulamaya konulan yamayı geri almak için “ci.dll” kütüphanesini daha eski bir sürümle (10.0.22621.1376.) değiştirmek için sürüm düşürme aracı kullanılarak gerçekleştirilir.

Bununla birlikte, böyle bir baypasın başarılı olmasını engelleyebilecek bir güvenlik bariyeri vardır. Hedeflenen ana bilgisayarda Sanallaştırma Tabanlı Güvenlik (VBS) çalışıyorsa, katalog taraması ci.dll yerine Güvenli Çekirdek Kod Bütünlüğü DLL’si (skci.dll) tarafından gerçekleştirilir.

Ancak, varsayılan yapılandırmanın Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) Kilidi olmayan VBS olduğunu belirtmekte fayda var. Sonuç olarak, bir saldırgan EnableVirtualizationBasedSecurity ve RequirePlatformSecurityFeatures kayıt defteri anahtarlarını değiştirerek bu özelliği kapatabilir.

UEFI kilidinin etkinleştirildiği durumlarda bile saldırgan, çekirdek dosyalardan birini geçersiz bir dosyayla değiştirerek VBS’yi devre dışı bırakabilir. Sonuçta bir saldırganın izlemesi gereken yararlanma adımları aşağıdadır:

  • Windows Kayıt Defterinde VBS’yi kapatmak veya SecureKernel.exe’yi geçersiz kılmak
  • Ci.dll dosyasını yamasız sürüme düşürme
  • Makinenin yeniden başlatılması
  • Çekirdek düzeyinde kod yürütmeyi gerçekleştirmek için itsNotASecurityBoundary DSE atlamasından yararlanma

Başarısız olduğu tek örnek, VBS’nin bir UEFI kilidi ve “Zorunlu” işaretiyle açılmasıdır; bunlardan sonuncusu, VBS dosyaları bozulduğunda önyükleme hatasına neden olur. Zorunlu mod, kayıt defteri değişikliği yoluyla manuel olarak etkinleştirilir.

Microsoft, “Zorunlu ayar, Hypervisor, Secure Kernel veya bunlara bağlı modüllerden birinin yüklenememesi durumunda işletim sistemi yükleyicisinin önyüklemeye devam etmesini önler.” notlar belgelerinde. “Bu modu etkinleştirmeden önce özel dikkat gösterilmelidir, çünkü sanallaştırma modüllerinde herhangi bir arıza olması durumunda sistem önyüklemeyi reddedecektir.”

Bu nedenle, saldırıyı tamamen azaltmak için VBS’nin UEFI kilidi ve Zorunlu bayrak seti ile etkinleştirilmesi önemlidir. Diğer herhangi bir modda, saldırganın güvenlik özelliğini kapatmasına, DDL sürümünü düşürmesine ve DSE bypass’ına erişmesine olanak tanır.

“Ana paket servis […] Leviev, The Hacker News’e verdiği demeçte, “güvenlik çözümlerinin, tanımlanmış güvenlik sınırlarını aşmayan bileşenler için bile sürüm düşürme prosedürlerini tespit etmeye ve önlemeye çalışması gerektiğidir” dedi.



siber-2