Nowe badanie zaprezentowane dzisiaj na konferencji dotyczącej bezpieczeństwa Black Hat w Las Vegas pokazuje, że lukę w zabezpieczeniach usługi Windows Update można wykorzystać do obniżenia wersji systemu Windows do starszych wersji, ujawniając szereg historycznych luk, które można następnie wykorzystać w celu uzyskania pełnej kontroli nad systemem. Microsoft twierdzi, że pracuje nad złożonym procesem dokładnego załatania problemu, nazwanym „Downdate”.
Alon Leviev, badacz z SafeBreach Labs, który odkryłem wadęmówi, że zaczął szukać możliwych metod ataku na niższą wersję po zobaczeniu zaskakującej kampanii hakerskiej z zeszłego roku korzystał z pewnego rodzaju złośliwego oprogramowania (znany jako „bootkit BlackLotus UEFI”), który polegał na obniżeniu wersji menedżera rozruchu systemu Windows do starej, podatnej na ataki wersji. Po zbadaniu przepływu usługi Windows Update Leviev odkrył ścieżkę do strategicznego obniżenia wersji systemu Windows — albo całego systemu operacyjnego, albo tylko wybranych komponentów. Następnie opracował atak weryfikujący koncepcję, który wykorzystywał ten dostęp do wyłączania ochrony systemu Windows znanej jako zabezpieczenia oparte na wirtualizacji (VBS) i ostatecznie atakował wysoce uprzywilejowany kod działający w jądrze komputera.
„Znalazłem exploita na obniżenie wersji, który jest całkowicie niewykrywalny, ponieważ jest wykonywany przy użyciu samej usługi Windows Update”, której system ufa, Leviev powiedział WIRED przed przemówieniem konferencyjnym. „Jeśli chodzi o niewidzialność, nie odinstalowałem żadnej aktualizacji — w zasadzie zaktualizowałem system, mimo że pod maską miał obniżoną wersję. Zatem system nie jest świadomy obniżenia wersji i nadal wydaje się aktualny.”
Możliwość obniżenia wersji Levieva wynika z wady składników procesu Windows Update. Aby przeprowadzić aktualizację, komputer umieszcza żądanie aktualizacji w specjalnym folderze aktualizacji. Następnie przedstawia ten folder serwerowi aktualizacji Microsoft, który sprawdza i potwierdza jego integralność. Następnie serwer tworzy dla Ciebie dodatkowy folder aktualizacji, który tylko on może kontrolować, w którym umieszcza i finalizuje aktualizację, a także przechowuje listę działań — zwaną „pending.xml” — zawierającą etapy planu aktualizacji, np. pliki zostaną zaktualizowane i gdzie nowy kod będzie przechowywany na Twoim komputerze. Po ponownym uruchomieniu komputera wykonuje on działania z listy i aktualizuje oprogramowanie.
Pomysł jest taki, że nawet jeśli Twój komputer, łącznie z folderem aktualizacji, zostanie naruszony, zły aktor nie będzie mógł przejąć procesu aktualizacji, ponieważ najważniejsze jego części odbywają się w folderze aktualizacji kontrolowanym przez serwer. Leviev przyjrzał się jednak uważnie różnym plikom zarówno w folderze aktualizacji użytkownika, jak i w folderze aktualizacji serwera i w końcu odkrył, że chociaż nie mógł bezpośrednio modyfikować listy akcji w folderze aktualizacji serwera, jeden z klawiszy kontrolujących tę funkcję — zwany „PoqexecCmdline” — nie zostało zablokowane. Dało to Levievowi możliwość manipulowania listą akcji, a wraz z nią całym procesem aktualizacji, bez świadomości systemu, że coś jest nie tak.
Dzięki tej kontroli Leviev znalazł strategie obniżenia wersji wielu kluczowych komponentów systemu Windows, w tym sterowników, które współpracują ze sprzętowymi urządzeniami peryferyjnymi; biblioteki dołączane dynamicznie, które zawierają programy i dane systemowe; i, co najważniejsze, jądro NT, które zawiera większość podstawowych instrukcji niezbędnych do uruchomienia komputera. Wszystkie te elementy można przywrócić do starszych wersji, które zawierają znane i załatane luki. Leviev zarzucił nawet szerszą sieć, aby znaleźć strategie obniżania poziomu komponentów zabezpieczeń systemu Windows, w tym bezpiecznego jądra systemu Windows; komponent dotyczący haseł i pamięci systemu Windows Credential Guard; hypervisor, który tworzy i nadzoruje maszyny wirtualne w systemie; oraz VBS, mechanizm bezpieczeństwa wirtualizacji systemu Windows.
Technika ta nie obejmuje możliwości uzyskania najpierw zdalnego dostępu do urządzenia ofiary, ale dla atakującego, który ma już początkowy dostęp, może spowodować prawdziwy szał, ponieważ usługa Windows Update jest zaufanym mechanizmem i może ponownie wprowadzić szeroką gamę niebezpiecznych luk, które zostały naprawione przez firmę Microsoft na przestrzeni lat. Microsoft twierdzi, że nie zaobserwował żadnych prób wykorzystania tej techniki.
„Aktywnie opracowujemy rozwiązania łagodzące, aby chronić się przed tymi zagrożeniami, postępując zgodnie z szeroko zakrojonym procesem obejmującym dokładne badanie, opracowywanie aktualizacji dla wszystkich wersji, których dotyczy problem i testowanie zgodności, aby zapewnić maksymalną ochronę klienta przy minimalnych zakłóceniach operacyjnych” – powiedział WIRED rzecznik Microsoftu oświadczenie.
Częścią rozwiązania firmy jest usunięcie podatnych na ataki plików systemowych VBS, co należy wykonywać ostrożnie i stopniowo, ponieważ może to spowodować problemy z integracją lub ponowne wprowadzenie innych, niepowiązanych problemów, które wcześniej były rozwiązywane przez te same pliki systemowe.
Leviev podkreśla, że ataki na obniżenie wersji oprogramowania stanowią ważne zagrożenie dla społeczności programistów, które należy wziąć pod uwagę, ponieważ hakerzy nieustannie szukają ścieżek do systemów docelowych, które są ukryte i trudne do wykrycia.
