Windows Downgrade napad

AUTOR ·

Windows Downgrade napad je sigurnosnoj sajber zajednici predstavio sigurnosni istraživač Alon Leviev iz kompanije SafeBreach Labs. Kako je Windows Update je kritična komponenta svakog Windows uređaja, odgovorna za isporuku osnovnih bezbjednosnih ažuriranja i ispravki, sigurnosni istraživač je otkrio da bi se ova funkcionalnost mogla koristi kao vektor napada za degradaciju operativnog sistema na ranjive verzije.

Windows Downgrade

Windows Downgrade napad; Source: Bing Image Creator

WINDOWS DOWNGRADE NAPAD

Microsoft Windows operativni sistem je jedna od najčešće korištenih desktop platformi širom sveta. Da bi osigurala da njeni korisnici ostanu zaštićeni od novih prijetnji, kompanija Microsoft objavljuje mjesečne bezbjednosne ispravke, kao i vanredne ispravke kada se nove ranjivosti aktivno iskorišćavaju u digitalnom prostoru. Ove ispravke rješavaju različite probleme i pružaju suštinska bezbjednosna poboljšanja kako bi sistemi bili sigurni.

Međutim, degradacija (eng. downgrading) – proces deinstaliranja ili vraćanja ažuriranja – može se zlonamjerno koristiti za uklanjanje kritičnih bezbjednosnih ispravki iz operativnog sistema. Ovo ne samo da izlaže korisnike poznatim ranjivostima, već i pretvara fiksne ranjivosti u ranjivosti nultog dana, što stvara opasnu situaciju za organizacije i pojedince da održavaju ažurne sisteme.

Koncept “savršenog” napada na degradairanu verziju Windows operativnog sistema nije nov. Inspirisan je BlackLotus UEFI bootkit zlonamjernima alatom koji je uspješno zaobišao UEFI Secure Boot i onemogućio različite bezbjednosne mehanizme kao što su BitLocker, Hypervisor-Protected Code IntegrityHVCI i Windows Defender. U ovom slučaju, sigurnosni istraživač Alon Leviev se fokusirao na pronalaženje načina da se manipuliše naizgled bezazlenim procesom Windows Update.

 

Windows Update arhitektura

Kako bi se razumjeli potencijalni rizici sa degradacijom na stariju verziju operativnog sistema Windows, prvo je potrebno dobro razumijevanje osnovne arhitekture ovog procesa. Procesom Windows Update upravlja nekoliko komponenti koje rade zajedno:

  1. WUAUENG.dll (Windows Update Agent): Ova komponenta upravlja i pokreće ažuriranja na strani klijenta. Komunicira sa Microsoft serverima za ažuriranje radi preuzimanja i instaliranja novih paketa,
  2. Catroot2: Direktorijum koji sadrži različite konfiguracione datoteke koje kontrolišu ponašanje Windows Update procesa, kao što je HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\AU,
  3. WSUServer (Windows Server Update Services): Opcionalna komponenta za upravljanje ažuriranjima na korporativnoj mreži, omogućavajući administratorima da odobre i distribuiraju ažuriranja svojim klijentima,
  4. Grupne politike (eng. Group Policy): Funkcija koja omogućava organizacijama da centralno upravljaju Windows podešavanjima, uključujući konfiguracije ažuriranja,
  5. MSI instaler: Microsoft Software Installer se koristi za instaliranje novih softverskih paketa, kao što su bezbjednosne ispravke,
  6. WUCLTG (Windows Update Cleanup Tool): Ovaj alat uklanja stare i nepotrebne datoteke povezane sa prethodnim verzijama operativnog sistema ili instaliranim ispravkama.

 

Metodologija Windows Downgrade napada

Sa osnovnim razumijevanjem procesa Windows Update funkcionalnosti, sada se mogu istražiti potencijalni vektori napada za izvršavanje Windows Downgrade napada. Metodologija se sastoji od nekoliko koraka:

  1. Identifikovanje komponenti koje se mogu degradirati: Prvi korak je da se utvrdi koje komponente operativnog sistema su podložne degradaciji. Ovo uključuje verzije operativnog sistema, upravljački softver (eng. drivers) i druge softverske pakete koji se mogu vratiti na prethodna stanja,
  2. Zaobilaženje sigurnosnih mehanizama: Da bi se izvršio uspješan Windows Downgrade napad, moraju se zaobići sigurnosni mehanizmi koji su postavljeni da bi se spriječilo neovlaštena degradacija kritičnih komponenti. Na primjer, UEFI mehanizmi zasnovani na Windows Virtualization-Based Security (VBS) su dizajnirani da zaštite proces pokretanja od neovlaštenog pristupa,
  3. Iskorištavanje ranjivosti podizanjem privilegija: Degradacija često zahteva povišene privilegije, jer neke komponente sistema mogu da mijenjaju samo pouzdani entiteti kao što su administratori ili sistemske usluge. Potrebno je identifikovati i iskoristiti sve poznate ranjivosti koje mogu dati dati neophodne dozvole za izvršenje Windows Downgrade napada,
  4. Izvršavanje toka napada: Kada se identifikuju potencijalne mete i dobiju potrebne privilegije, može se nastaviti sa stvarnim procesom degradacije manipulisanjem Windows Update komponentama kao što su WUAUENG.dll ili Catroot2. Ovo može uključivati mijenjanje konfiguracijskih datoteka ili ubacivanje zlonamjernog kôda u legitimne procese da bi se primoralo na degradaciju određenih paketa,
  5. Nakon eksploatacije: Nakon uspješnog izvršenja napada, potrebno je obezbijediti da prisustvo ostane skriveno i da su sve potencijalne posljedice svedene na minimum. Na primjer, ako je izvršena degradacija kritične bezbjednosne komponente, možda postoji potreba za instalacijom druge ispravke ili backdoor zlonamjernog softvera kao bi se zadržao pristup sistemu.

 

Istraživanje

Sigurnosni istraživač Alon Leviev je kroz svoje istraživanje pronašao nekoliko ranjivosti u Windows Update arhitekturi koje su omogućile Windows Downgrade napade. Bio je u mogućnosti da manipuliše procesom ažuriranja kako bi napravio nevidljive, postojane i nepovratne degradacije na kritičnim komponentama operativnog sistema. Ovo mu je omogućilo da podigne privilegije i zaobiđe sigurnosne funkcije kao što su UEFI zaključavanja Windows VirtualizationBased Security (VBS).

Istraživanje je pokazalo da je moguće da se ključne komponente operativnog sistema, uključujući i sam operativni sistem, vrate na stariju verziju, koristeći alat pod nazivom Windows Downdate koji je sigurnosni istraživač sam napravio. Ovo može dovesti do značajnih bezbjednosnih rizika, jer su zastarele komponente podložnije poznatim i nepoznatim ranjivostima.

Kritično otkriće je bila mogućnost da se zaobiđu VBS UEFI zaključavanja putem Windows Downgrade napada. Ovo bi potencijalno moglo omogućiti zlonamjernim akterima da dobiju postojan pristup upravljačkom softveru sistema i izvrše trajne modifikacije. Na kraju, sigurnosni istraživač je otkrio nekoliko ranjivosti nakon početne eksploatacije u vezi sa podizanjem privilegija u virtuelizacionom sloju koje bi mogle biti izložene Windows Downgrade napadima. Ove ranjivosti potencijalno mogu omogućiti zlonamjernim akterima da dobiju administrativni pristup ciljnom sistemu.

Sprovedeno istraživanje je imalo za posljedicu identifikaciju dvije ranjivosti CVE-2024-38202 i CVE-2024-21302.

 

CVE-2024-38202

CVE-2024-38202 ranjivost je klasifikovana kao problem eskalacije privilegija. To znači da zlonamjerni akter koji uspješno iskorištava ovu ranjivost dobija povećana prava pristupa unutar pogođenog Windows sistema, omogućavajući mu da obavlja radnje za koje inače ne bi bio ovlašten. U ovom slučaju, zlonamjerni akter može da zamijeni trenutne verzije kritičnih Windows sistemskih datoteka sa zastarelim. Čineći to, zlonamjerni akter bi mogao potencijalno degradirati komponente kao što su biblioteke dinamičkih veza (DLL), upravljački softver, pa čak i NT jezgro, koje su neophodne za održavanje bezbjednosti i funkcionalnosti operativnog sistema.

 

CVE-2024-21302

CVE-2024-21302 je složenija ranjivost koja se može koristiti za ponovno uvođenje prethodno riješenih bezbjednosnih propusta u Windows Update funkcionalnosti i zaobilaženje nekih funkcija VirtualizationBased Security (VBS). VBS je važna komponenta Microsoft funkcije hipervizor zaštite integriteta kôda, koja pomaže u zaštiti od određenih vrsta napada. Iskorišćavanjem ove ranjivosti, zlonamjerni akter bi potencijalno mogao da dobije mogućnost da eksfiltrira podatke iz kompromitovanog sistema dok izbjegava da ga otkriju bezbjednosni mehanizmi.

 

“Cijenimo SafeBreach rad na identifikovanju i odgovornom prijavljivanju ove ranjivosti kroz koordinisano otkrivanje ranjivosti. Aktivno razvijamo ublažavanja da bismo se zaštitili od ovih rizika dok pratimo opsežan proces koji uključuje temeljnu istragu, razvoj ažuriranja za sve pogođene verzije i testiranje kompatibilnosti, kako bismo osigurali maksimalnu zaštitu korisnika uz minimalne smetnje u radu.”

– Microsoft –

 

ZAKLJUČAK

Napadi Windows degradacije predstavljaju značajnu prijetnju organizacijama širom sveta zbog njihove sposobnosti da pretvore ispravljene ranjivosti u ranjivosti nultog dana i obesmišljavaju “potpuno ažurirano” stanje na bilo kojoj Windows mašini.

Implikacije ovog istraživanja su značajne, jer pokazuju da se čak i potpuno ažurirana Windows mašina može učiniti podložnom hiljadama ranjivosti iz prošlosti putem Windows Downgrade napada. Ovo bi moglo dovesti do potencijalnih ugrožavanja podataka ili daljeg ugrožavanja IT infrastrukture organizacije. Štaviše, istraživanje naglašava važnost obezbjeđivanja procesa upravljanja ažuriranjem i implementacije robusnih bezbjednosnih mjera kao što su UEFI zaključavanje i bezbjednost zasnovana na virtuelizaciji radi zaštite od ovih vrsta napada.

Organizacije moraju dati prioritet upravljanju ažuriranjima tako što će osigurati da svi sistemi budu ažurirani najnovijim bezbjednosnim ispravkama čim postanu dostupne. Takođe bi trebalo da nadgledaju svoje mreže u potrazi za sumnjivim aktivnostima i ulažu u napredna riješenja za otkrivanje prijetnji za zaštitu od ovih vrsta napada. Pored toga, organizacije mogu da implementiraju postavke grupnih politika ili druge alate za upravljanje konfiguracijom da kontrolišu ponašanje ažuriranja u svojim mrežnim okruženjima.

S druge strane, kompanija Microsoft mora da se pozabavi ranjivostima koje su otkrivene u ovom istraživanju i radi na poboljšanju svojih mehanizama zaštite od Windows Downgrade napada. Ovo uključuje rješavanje slabosti u procesu Windows Update, virtuelizovanom sloju i UEFI upravljačkom softveru koji bi mogao da se iskoristi za napade koji se ne mogu otkriti. Na taj način kompanija može  pomoći u održavanju povjerenja korisnika u svoje proizvode i istovremeno obezbjeđivanje optimalne bezbjednosti za svoje kupce.

 

ZAŠTITA

Na osnovu svega navedenog, korisnici i organizacije bi mogli usvojiti nekoliko prijedloga za zaštiti od napada Windows degradacije:

  1. Najbolja odbrana od Windows Downgrade napada je da se obezbijedi da sve komponente sistema pokreću najnovije verzije. Redovno provjeravati i instalirati ažuriranja softvera čim postanu dostupna. Ovo uključuje ne samo operativne sisteme već i aplikacije, upravljački softver i druge komponente,
  2. Koristite pouzdane izvore za preuzimanje softvera, jer zlonamjerni akteri mogu da iskoriste ranjivosti u zastarelom ili nepouzdanom softveru za distribuciju Windows Downgrade napada koji sadrže zlonamjerni softver ili druge prijetnje,
  3. Implementirajte autentifikaciju u više koraka (eng. multi-factor authentication – MFA), jer dodaje dodatni sloj bezbjednosti zahvaljujući od korisnika da obezbijede dva ili više oblika identifikacije prije pristupa osjetljivim sistemima ili podacima. Ovo može pomoći da se spriječi napadači da dobiju neovlašteni pristup i naprave promjene u sistemu, uključujući degradaciju komponenti na stariju verziju,
  4. Koristite pouzdano antivirusno rješenje za otkrivanje i blokiranje zlonamjernog softvera koji se može koristiti u Windows Downgrade Uvjeriti se da je ažuriran antivirusni program instaliran na svim uređajima i konfigurisati ga za obavljanje redovnih skeniranja,
  5. Nadgledanje sistemskih evidencija može pomoći da se identifikuju neobične aktivnosti, kao što su pokušaji instaliranja ili izmjena softvera bez ovlašćenja. Redovno pregledati sistemske evidencije u potrazi za znakovima sumnjivog ponašanja uz analizu otkrivenih anomalija,
  6. Koristite pravilno konfigurisan zaštitni zid koji može pomoći u sprečavanju neovlaštenog pristupa sistemu sa interneta. Uvjeriti se da su svi portovi zatvoreni osim onih koji su neophodni i konfigurisati pravila za blokiranje saobraćaja sa poznatih zlonamjernih IP adresa ili domena,
  7. Primijeniti listu dozvoljenih aplikacija, jer ova bezbjednosna tehnika dozvoljava samo odobrenom softveru da radi na sistemu. Ovo može pomoći u sprečavanju Windows Downgrade napada blokiranjem instalacije neodobrenih ili zastarelih komponenti,
  8. Koristite tehnologiju virtuelizacije kao što je Hyper-V ili VMware koja može pomoći u zaštiti od Windows Downgrade napada tako što će izolovati operativni sistem i aplikacije u zasebnom okruženju. Ako zlonamjerni akter uspije da kompromituje jednu virtuelnu mašinu, uticaj na druge sisteme je minimalan, jer rade u različitim okruženjima,
  9. Ograničavanje privilegija korisnika i primjena jakih politika lozinki mogu pomoći u sprečavanju neovlaštenih promjena na sistemu. Uvjeriti se da svaki korisnik ima samo neophodne dozvole za obavljanje svojih radnih funkcija i primijeniti stroge zahteve za lozinkom kako bi se napadačima otežao pristup putem slabih akreditiva,
  10. Redovno pravljenje rezervnih kopija podataka važnih podataka je od suštinskog značaja u slučaju Windows Downgrade napada ili bilo koje druge vrste bezbjednosnog incidenta. Uvjeriti se da su rezervne kopije bezbjedno uskladištene van lokacije ili na zasebnom sistemu i često testirati proces vraćanja kako se osiguralo da funkcioniše kako je predviđeno.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.