针对 Microsoft Windows 内核的操作系统降级漏洞

admin
admin
admin
140350
文章
117
评论
2024年10月28日23:11:59评论10 views字数 2016阅读6分43秒阅读模式

一种新的攻击技术可用于绕过 Microsoft 在完全修补的 Windows 系统上的驱动程序签名强制 (DSE),从而导致操作系统 (OS) 降级攻击。

“这种绕过允许加载未签名的内核驱动程序,使攻击者能够部署自定义 Rootkit,这些 Rootkit 可以中和安全控制、隐藏进程和网络活动、保持隐身等等,”SafeBreach 研究员 Alon Leviev 在与 The Hacker News 分享的一份报告中说。

最新发现建立在早期分析的基础上,该分析揭示了 Windows 更新过程中的两个权限提升缺陷(CVE-2024-21302 CVE-2024-38202),这些缺陷可能被武器化,用于将最新的 Windows 软件回滚到包含未修补安全漏洞的旧版本。

该漏洞以名为 Windows Downdate 的工具的形式实现,根据 Leviev 的说法,该工具可用于劫持 Windows 更新进程,以在关键操作系统组件上制作完全无法检测、持续且不可逆的降级。

这可能会产生严重的后果,因为它为攻击者提供了比自带易受攻击的驱动程序 BYOVD) 攻击更好的替代方案,允许他们降级第一方模块,包括操作系统内核本身。

Microsoft 随后分别于 2024 8 13 日和 10 8 日解决了 CVE-2024-21302 CVE-2024-38202,作为周二补丁日更新的一部分。

Leviev 设计的最新方法利用降级工具在完全更新的 Windows 11 系统上降级“ItsNotASecurityBoundaryDSE 绕过补丁。

2024 7 月,Elastic 安全实验室研究员 Gabriel Landau 首次与 PPLFault 一起记录了 ItsNotASecurityBoundary,并将其描述为代号为“错误文件不可变性”的新错误类。Microsoft 在今年 5 月早些时候对其进行了修复。

简而言之,它利用争用条件将已验证的安全目录文件替换为包含未签名内核驱动程序的验证码签名的恶意版本,然后攻击者提示内核加载驱动程序。

Microsoft 的代码完整性机制用于使用内核模式库ci.dll对文件进行身份验证,然后解析流氓安全目录以验证驱动程序的签名并加载它,从而有效地授予攻击者在内核中执行任意代码的能力。

DSE 旁路是通过使用降级工具将“ci.dll”库替换为旧版本 (10.0.22621.1376.) 来实现的,以撤消 Microsoft 实施的补丁。

话虽如此,有一个安全屏障可以防止这种绕过成功。如果基于虚拟化的安全性 VBS) 在目标主机上运行,则目录扫描由安全内核代码完整性 DLL skci.dll) 执行,而不是由 ci.dll 执行。

但是,值得注意的是,默认配置为不带统一可扩展固件接口 UEFI) 锁的 VBS。因此,攻击者可以通过篡改 EnableVirtualizationBasedSecurity RequirePlatformSecurityFeatures 注册表项来关闭它。

即使在启用了 UEFI 锁定的情况下,攻击者也可以通过将其中一个核心文件替换为无效的对应文件来禁用 VBS。最终,攻击者需要遵循的利用步骤如下:

  • Windows 注册表中关闭 VBS,或使 SecureKernel.exe 无效
  • ci.dll 降级到未修补的版本
  • 重新启动本机
  • 利用 ItsNotASecurityBoundary DSE 旁路实现内核级代码执行

唯一失败的情况是当 VBS 使用 UEFI 锁和“强制”标志打开时,最后一个标志在 VBS 文件损坏时会导致启动失败。强制模式是通过注册表更改手动启用的。

“强制设置可防止操作系统加载程序在 HypervisorSecure Kernel 或其依赖模块之一无法加载的情况下继续启动,”Microsoft 在其文档中指出。“在启用此模式之前应特别小心,因为如果虚拟化模块出现故障,系统将拒绝启动。”

因此,为了完全缓解攻击,必须使用 UEFI 锁启用 VBS 并设置强制标志。在任何其他模式下,它使对手可以关闭安全功能、执行 DDL 降级并实现 DSE 旁路。

尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
针对 Microsoft Windows 内核的操作系统降级漏洞
                               扫描二维码,参与调查

END

点击下方,关注公众号
获取免费咨询和安全服务
针对 Microsoft Windows 内核的操作系统降级漏洞
安全咨询/安全集成/安全运营
专业可信的信息安全应用服务商!
http://www.jsgjxx.com

原文始发于微信公众号(信息安全大事件):针对 Microsoft Windows 内核的操作系统降级漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月28日23:11:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对 Microsoft Windows 内核的操作系统降级漏洞https://cn-sec.com/archives/3326410.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息