Rủi ro tấn công hạ cấp Windows khiến hệ thống đã vá tiếp xúc với các lỗ hổng cũ

Tác giả ChatGPT, T.Tám 09, 2024, 10:23:21 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Microsoft cho biết họ đang phát triển các bản cập nhật bảo mật để giải quyết hai lỗ hổng mà hãng cho rằng có thể bị lợi dụng để thực hiện các cuộc tấn công hạ cấp đối với kiến trúc cập nhật Windows và thay thế các phiên bản hiện tại của tệp hệ điều hành bằng các phiên bản cũ hơn.

Các lỗ hổng được liệt kê dưới đây:

  • CVE-2024-38202 (điểm CVSS: 7.3) - Độ cao của lỗ hổng đặc quyền ngăn xếp Windows Update
  • CVE-2024-21302 (điểm CVSS: 6.7) - Độ cao của lỗ hổng đặc quyền ở Chế độ hạt nhân bảo mật Windows

Được ghi nhận là người đã phát hiện và báo cáo các lỗ hổng là nhà nghiên cứu Alon Leviev của SafeBreach Labs, người đã trình bày những phát hiện này tại Black Hat USA 2024 và DEF CON 32.


CVE-2024-38202, bắt nguồn từ thành phần Windows Backup, cho phép "kẻ tấn công có đặc quyền người dùng cơ bản tạo lại các lỗ hổng đã được giảm thiểu trước đó hoặc phá vỡ một số tính năng của Bảo mật dựa trên ảo hóa (VBS)", gã khổng lồ công nghệ cho biết.

Tuy nhiên, họ lưu ý rằng kẻ tấn công cố gắng tận dụng lỗ hổng sẽ phải thuyết phục Quản trị viên hoặc người dùng được ủy quyền thực hiện khôi phục hệ thống, điều này vô tình gây ra lỗ hổng.

Lỗ hổng thứ hai cũng liên quan đến trường hợp leo thang đặc quyền trong các hệ thống Windows hỗ trợ VBS, cho phép kẻ thù thay thế các phiên bản hiện tại của tệp hệ thống Windows bằng các phiên bản lỗi thời một cách hiệu quả.

Hậu quả của CVE-2024-21302 là nó có thể được vũ khí hóa để giới thiệu lại các lỗi bảo mật đã được xử lý trước đó, bỏ qua một số tính năng của VBS và lấy cắp dữ liệu được VBS bảo vệ.


Leviev, người đã trình bày chi tiết về một công cụ có tên Windows Downdate, cho biết nó có thể được sử dụng để biến một "máy Windows được vá hoàn toàn dễ bị ảnh hưởng bởi hàng nghìn lỗ hổng trong quá khứ, biến các lỗ hổng đã được sửa thành lỗi zero-day và khiến thuật ngữ 'được vá hoàn toàn' trở nên vô nghĩa trên bất kỳ máy Windows nào. trên thế giới."

Leviev cho biết thêm, công cụ này có thể "tiếp quản quá trình Windows Update để tạo ra các bản hạ cấp hoàn toàn không thể phát hiện, vô hình, liên tục và không thể đảo ngược đối với các thành phần hệ điều hành quan trọng - cho phép tôi nâng cao các đặc quyền và bỏ qua các tính năng bảo mật."

Hơn nữa, Windows Downdate có khả năng bỏ qua các bước xác minh, chẳng hạn như xác minh tính toàn vẹn và thực thi Trình cài đặt đáng tin cậy, giúp có thể hạ cấp một cách hiệu quả các thành phần quan trọng của hệ điều hành, bao gồm thư viện liên kết động (DLL), trình điều khiển và nhân NT.

Ngoài ra, các vấn đề này có thể bị khai thác để hạ cấp Quy trình chế độ người dùng biệt lập của Credential Guard, Hạt nhân bảo mật và trình ảo hóa của Hyper-V nhằm phát hiện các lỗ hổng leo thang đặc quyền trong quá khứ, cũng như vô hiệu hóa VBS, cùng với các tính năng như tính toàn vẹn của Mã được bảo vệ bởi Hypervisor ( HVCI).

Kết quả cuối cùng là một hệ thống Windows được vá hoàn toàn có thể dễ bị ảnh hưởng bởi hàng nghìn lỗ hổng trong quá khứ và biến những thiếu sót đã được khắc phục thành lỗi không có ngày.

Những lần hạ cấp này còn có tác động bổ sung ở chỗ hệ điều hành báo cáo rằng hệ thống đã được cập nhật đầy đủ, đồng thời ngăn chặn việc cài đặt các bản cập nhật trong tương lai và ngăn cản việc phát hiện bằng các công cụ khôi phục và quét.

Leviev cho biết: "Cuộc tấn công hạ cấp mà tôi có thể thực hiện trên ngăn xếp ảo hóa trong Windows có thể xảy ra do một lỗi thiết kế cho phép các mức/vòng tin cậy ảo ít đặc quyền hơn cập nhật các thành phần nằm trong các mức/vòng tin cậy ảo đặc quyền hơn".

"Điều này rất đáng ngạc nhiên, vì các tính năng VBS của Microsoft đã được công bố vào năm 2015, có nghĩa là bề mặt tấn công hạ cấp mà tôi phát hiện đã tồn tại gần một thập kỷ."