Uma nova técnica de ataque poderia ser usada para contornar o Driver Signature Enforcement (DSE) da Microsoft em sistemas Home windows totalmente corrigidos, levando a ataques de downgrade do sistema operacional (SO).
“Esse desvio permite carregar drivers de kernel não assinados, permitindo que invasores implantem rootkits personalizados que podem neutralizar controles de segurança, ocultar processos e atividades de rede, manter sigilo e muito mais”, disse o pesquisador do SafeBreach, Alon Leviev, em um relatório compartilhado com The Hacker Information.
As descobertas mais recentes baseiam-se em uma análise anterior que descobriu duas falhas de escalonamento de privilégios no processo de atualização do Home windows (CVE-2024-21302 e CVE-2024-38202) que poderiam ser utilizadas para reverter um software program Home windows atualizado para uma versão mais antiga. contendo vulnerabilidades de segurança não corrigidas.
A exploração se materializou na forma de uma ferramenta chamada Home windows Downdate, que, segundo Leviev, poderia ser usada para sequestrar o processo do Home windows Replace para criar downgrades totalmente indetectáveis, persistentes e irreversíveis em componentes críticos do sistema operacional.
Isso pode ter ramificações graves, pois oferece aos invasores uma alternativa melhor aos ataques Traga seu próprio driver vulnerável (BYOVD), permitindo-lhes fazer downgrade de módulos originais, incluindo o próprio kernel do sistema operacional.
Posteriormente, a Microsoft abordou CVE-2024-21302 e CVE-2024-38202 em 13 de agosto e 8 de outubro de 2024, respectivamente, como parte das atualizações do Patch Tuesday.
A abordagem mais recente desenvolvida por Leviev aproveita a ferramenta de downgrade para fazer o downgrade do patch de desvio DSE “ItsNotASecurityBoundary” em um sistema Home windows 11 totalmente atualizado.
ItsNotASecurityBoundary foi documentado pela primeira vez pelo pesquisador do Elastic Safety Labs Gabriel Landau em julho de 2024 junto com PPLFault, descrevendo-os como uma nova classe de bug com o codinome False File Immutability. A Microsoft corrigiu isso no início de maio.
Em poucas palavras, ele explora uma condição de corrida para substituir um arquivo de catálogo de segurança verificado por uma versão maliciosa contendo assinatura de authenticode para um driver de kernel não assinado, após o qual o invasor solicita ao kernel que carregue o driver.
O mecanismo de integridade de código da Microsoft, que é usado para autenticar um arquivo usando a biblioteca de modo kernel ci.dll, analisa o catálogo de segurança não autorizado para validar a assinatura do driver e carregá-lo, concedendo efetivamente ao invasor a capacidade de executar código arbitrário no núcleo.
O desvio do DSE é obtido usando a ferramenta de downgrade para substituir a biblioteca “ci.dll” por uma versão mais antiga (10.0.22621.1376.) para desfazer o patch implementado pela Microsoft.
Dito isto, existe uma barreira de segurança que pode impedir que tal desvio seja bem-sucedido. Se a segurança baseada em virtualização (VBS) estiver em execução no host de destino, a verificação do catálogo será realizada pela DLL de integridade de código do kernel seguro (skci.dll), em oposição ao ci.dll.
No entanto, é importante notar que a configuração padrão é VBS sem bloqueio de interface de firmware extensível unificada (UEFI). Como resultado, um invasor pode desativá-lo alterando as chaves de registro EnableVirtualizationBasedSecurity e RequirePlatformSecurityFeatures.
Mesmo nos casos em que o bloqueio UEFI está ativado, o invasor pode desativar o VBS substituindo um dos arquivos principais por um equivalente inválido. Em última análise, as etapas de exploração que um invasor precisa seguir estão abaixo:
- Desativando VBS no registro do Home windows ou invalidando SecureKernel.exe
- Fazendo downgrade de ci.dll para a versão sem patch
- Reiniciando a máquina
- Explorando o bypass ItsNotASecurityBoundary DSE para obter execução de código em nível de kernel
A única instância em que falha é quando o VBS é ativado com um bloqueio UEFI e um sinalizador “Obrigatório”, o último dos quais causa falha de inicialização quando os arquivos VBS são corrompidos. O modo Obrigatório é habilitado manualmente por meio de uma alteração no registro.
“A configuração Obrigatória impede que o carregador do sistema operacional proceed a inicializar caso o hipervisor, o kernel seguro ou um de seus módulos dependentes falhe ao carregar”, observa a Microsoft em sua documentação. “Deve-se ter especial cuidado antes de habilitar este modo, pois, em caso de alguma falha dos módulos de virtualização, o sistema se recusará a inicializar.”
Assim, para mitigar totalmente o ataque, é essencial que o VBS esteja habilitado com bloqueio UEFI e o flag Obligatory definido. Em qualquer outro modo, é possível que um adversário desligue o recurso de segurança, execute o downgrade do DDL e consiga um desvio do DSE.
“A principal conclusão (…) é que as soluções de segurança devem tentar detectar e prevenir procedimentos de downgrade, mesmo para componentes que não cruzem os limites de segurança definidos”, disse Leviev ao The Hacker Information.
