يمكن للمهاجمين الرجوع إلى إصدار أقدم من مكونات Windows kernel لتجاوز ميزات الأمان مثل فرض توقيع برنامج التشغيل ونشر الجذور الخفية على أنظمة مصححة بالكامل.
يمكن تحقيق ذلك من خلال التحكم في عملية تحديث Windows لإدخال مكونات البرامج القديمة والضعيفة على جهاز محدث دون أن يقوم نظام التشغيل بتغيير الحالة المصححة بالكامل.
خفض مستوى ويندوز
أبلغ ألون ليفيف، الباحث الأمني في SafeBreach، عن مشكلة الاستيلاء على التحديث، لكن مايكروسوفت رفضتها قائلة إنها لم تتجاوز حدود الأمان المحددة، على الرغم من أن ذلك ممكن عن طريق تشغيل كود kernel كمسؤول.
ليفيف في القبعة السوداء و ديفكون وقد أظهرت المؤتمرات الأمنية هذا العام أن الهجوم كان ممكناً، ولكن المشكلة ظلت دون حل، مما يترك الباب مفتوحاً أمام هجمات التخفيض/التراجع.
ونشرت الباحثة أداة تسمى تحديث ويندوزوالذي يسمح بإنشاء تخفيضات مخصصة وكشف النظام المستهدف الذي يبدو أنه تم تحديثه بالكامل لنقاط الضعف التي تم تصحيحها بالفعل عبر مكونات قديمة، مثل مكتبات الارتباط الحيوي (DLL) وبرامج التشغيل وNT kernel.
“لقد تمكنت من جعل جهاز يعمل بنظام Windows مصححًا بالكامل عرضة لنقاط الضعف السابقة، مما يجعل الثغرات الأمنية المصححة غير مصححة ويجعل مصطلح “مصحح بالكامل” لا معنى له على أي جهاز يعمل بنظام Windows في العالم” – ألون ليفيف
على الرغم من التحسينات الكبيرة في أمان kernel على مر السنين، نجح Leviev في تجاوز ميزة Driver Signature Enforcement (DSE)، مما يوضح كيف يمكن للمهاجم تحميل برامج تشغيل kernel غير الموقعة لنشر برامج rootkit الضارة التي تعطل عناصر التحكم الأمنية وتخفي النشاط الذي قد يؤدي إلى اكتشاف التسوية .
يقول ليفيف: “في السنوات الأخيرة، تم تنفيذ تحسينات كبيرة لتعزيز أمان النواة، حتى في حالة احتمال اختراقها بامتيازات المسؤول”.
على الرغم من أن وسائل الحماية الجديدة تزيد من صعوبة اختراق النواة، إلا أن “القدرة على خفض ترتيب المكونات الموجودة في النواة تجعل الأمور أسهل بكثير بالنسبة للمهاجمين”، كما يوضح الباحث.
سمى ليفيف طريقته في الاستغلال تجاوز “ItsNotASecurityBoundary” للسجل الصحي الإلكتروني لأنه جزء من أخطاء ثبات الملف الكاذبةتم وصف فئة جديدة من الثغرات الأمنية في Windows في بحث غابرييل لانداو المرونة كوسيلة لتنفيذ تعليمات برمجية عشوائية بامتيازات kernel.
بعد تقرير لانداو، قامت Microsoft بإصلاح تصعيد امتيازات المسؤول إلى مركزitsNotASecurityBoundary الأساسي. ومع ذلك، هذا يحمي من هجوم الرجوع إلى إصدار أقدم.
استهدف الجوهر
في بحث جديد نُشر اليوم، يوضح ليفيف كيف يمكن للمهاجم استغلال عملية Windows Update لتجاوز حماية DSE عن طريق الرجوع إلى إصدار أقدم من مكون تم تصحيحه، حتى على أنظمة Windows 11 المحدثة بالكامل.
يمكن تنفيذ الهجوم عن طريق استبدال “ci.dll”، وهو الملف المسؤول عن فرض السجل الصحي الإلكتروني، بإصدار غير مُصحح يتجاهل توقيعات برنامج التشغيل، ويتجاوز بشكل أساسي ضوابط حماية Windows.
يتم تشغيل هذا الاستبدال بواسطة Windows Update، مستغلًا حالة القراءة المزدوجة التي يتم فيها تحميل النسخة الضعيفة من ci.dll إلى الذاكرة بعد أن يبدأ Windows في التحقق من أحدث نسخة من ci.dll.
المصدر: SafeBreach
تسمح “نافذة السباق” هذه بتحميل ملف ci.dll الضعيف بينما يعتقد Windows أنه قد تحقق من الملف، مما يسمح بتحميل برامج التشغيل غير الموقعة على kernel.
في الفيديو أدناه، يوضح الباحث كيف قام بإرجاع تصحيح DSE عبر هجوم الرجوع إلى إصدار أقدم ثم استغلال المكون الموجود على جهاز يعمل بنظام Windows 11 23H2 تم تصحيحه بالكامل.
يصف ليفيف أيضًا طرقًا لتعطيل أو تجاوز الأمان القائم على المحاكاة الافتراضية (VBS) من Microsoft والذي ينشئ بيئة معزولة لنظام التشغيل Windows لحماية الموارد الهامة وأصول الأمان مثل آلية تكامل كود kernel الآمنة (skci.dll) وبيانات اعتماد المستخدم المصادق عليه.
يعتمد VBS عادةً على وسائل الحماية مثل أقفال UEFI وتكوينات التسجيل لمنع التعديلات غير المصرح بها، ولكن يمكن تعطيله إذا لم يتم تكوينه بأقصى قدر من الأمان (علامة “مطلوب”) عن طريق إجراء تعديل مستهدف لمفتاح التسجيل.
عند التنشيط جزئيًا، يمكن استبدال ملفات VBS الرئيسية مثل “SecureKernel.exe” بإصدارات تالفة تعطل تشغيل VBS وتمهد الطريق لتجاوز “ItsNotASecurityBoundary” واستبدال “ci.dll”.
المصدر: SafeBreach
يُظهر عمل ليفيف أن هجمات الرجوع إلى إصدار أقدم لا تزال ممكنة عبر طرق متعددة، حتى لو كانت في بعض الأحيان تتطلب متطلبات امتيازات قوية.
يسلط الباحث الضوء على الحاجة إلى أدوات أمان نقطة النهاية لمراقبة إجراءات الرجوع إلى إصدار أقدم عن كثب، حتى تلك التي لا تتجاوز الحدود الأمنية الحرجة.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”