Rootkity zdolne do ominięcia zabezpieczeń systemu Windows poprzez obniżenie wersji aktualizacji
TO Rootkity stanowią poważne zagrożenie dla systemów Windows, ponieważ są w stanie ominąć aktualizacje zabezpieczeń, wykorzystując określoną lukę. Technika ta, tzw atak na obniżenie poziomuumożliwia cyberprzestępcom powrót do poprzednich wersji systemu, narażając komputery na ataki, nawet jeśli są aktualne. Obsługując komponenty takie jak Jądro Windowsa i omijanie funkcji bezpieczeństwa, takich jak Egzekwowanie podpisu kierowcyosoby atakujące mogą przeniknąć do systemu, zainstalować rootkity i ukryć swoje szkodliwe działania, zagrażając w ten sposób integralności systemu.
W dzisiejszym krajobrazie cyberbezpieczeństwa rootkity w dalszym ciągu stanowią ogromne zagrożenie dla systemów operacyjnych, w tym systemu Windows. Niedawno odkryto, że rootkity mogą wykorzystać lukę w zabezpieczeniach, obniżając wersję aktualizacji zabezpieczeń, omijając w ten sposób wbudowane zabezpieczenia nawet w aktualnych systemach. W tym artykule zbadano naturę tej luki, metody, za pomocą których osoby atakujące mogą ją wykorzystać, a także konsekwencje dla bezpieczeństwa systemu.
Sommaire
Rootkity zdolne do ominięcia zabezpieczeń systemu Windows
TO rootkity to wyrafinowane złośliwe oprogramowanie zaprojektowane tak, aby ukrywać się głęboko w systemie operacyjnym i zapewniać hakerom potajemny dostęp. Często są trudne do wykrycia ze względu na zdolność ukrywania zmian wprowadzanych w systemie. Tym, co czyni rootkity szczególnie niebezpiecznymi, jest ich zdolność do wyłączania podstawowych zabezpieczeń, umożliwiając cyberprzestępcom przejęcie kontroli nad komputerem bez wiedzy użytkownika.
Niedawne odkrycie Alana Levieva, badacza cyberbezpieczeństwa, uwydatnia krytyczną wadę w procesie aktualizacji Okna. Cyberprzestępcy mogą wykorzystywać techniki ataku w celu wycofania lub obniżenia wersji zastosowanych aktualizacji zabezpieczeń, ponownie wprowadzając w ten sposób podatne na ataki komponenty do systemu. To otwiera drogę do wykonania rootkity w stanie obejść mechanizmy obronne, takie jak Egzekwowanie podpisu kierowcy (DSE).
Proces obniżania wersji aktualizacji systemu Windows
Luka polega na zdolności atakujących do manipulacji Aktualizacja systemu Windows i zastąp najnowsze komponenty przestarzałymi i podatnymi na ataki wersjami. Wykorzystując tę wadę, pozornie aktualny system może w jednej chwili stać się podatny na ataki. Szczególnie niepokojące jest to, że pozwala to hakerom ominąć krytyczne środki bezpieczeństwa bez pozostawiania widocznych śladów.
Jak działa egzekwowanie podpisu kierowcy
Funkcjonalność Egzekwowanie podpisu kierowcy w systemie Windows odgrywa kluczową rolę w zapewnieniu możliwości załadowania wyłącznie sterowników z ważnym podpisem cyfrowym. Zapobiega to ładowaniu potencjalnie złośliwego oprogramowania na poziomie jądra. Niestety, obchodząc ten środek, osoby atakujące mogą załadować niepodpisane sterowniki w celu ich zainstalowania rootkity, poważnie zagrażając bezpieczeństwu systemu.
Narzędzie do aktualizacji systemu Windows
Leviev zademonstrował skuteczność tego ataku za pomocą opracowanego przez siebie narzędzia zwanego Aktualizacja systemu Windows. To narzędzie podkreśla łatwość, z jaką można wymienić lub obniżyć wersję krytycznych komponentów systemu Windows, nawet jeśli system ma być chroniony. Jedna z opisanych przez niego technik ataku wykorzystuje lukę w plikach
ci.dll
aby ominąć zasady bezpieczeństwa.
Wyzwania związane z bezpieczeństwem opartym na wirtualizacji (VBS)
Tam Bezpieczeństwo oparte na wirtualizacji (VBS) to kolejna warstwa obrony mająca na celu ochronę kluczowych elementów, takich jak mechanizm integralności kodu jądra. Jednakże niektóre konfiguracje mogą zostać wykorzystane do wyłączenia tej ochrony, gdy pliki np
SecureKernel.exe
są wymieniane, co ułatwia modernizację krytycznych komponentów.
Wysiłki i odpowiedzi firmy Microsoft
Chociaż Microsoft zidentyfikował niektóre kluczowe luki związane z tymi atakami i wydał już łaty dla kilku głównych exploitów (CVE-2024-21302 i CVE-2024-38202), wyzwanie pozostaje znaczące. Wymaga to nie tylko precyzyjnej identyfikacji możliwych wektorów ataku, ale także ciągłej aktualizacji, aby zapewnić, że proces Aktualizacja systemu Windows nie mogą zostać naruszone przez podmioty nieuprawnione.
Porównanie rootkitów korzystających z usługi Windows Update na starszą wersję
| Charakterystyczny | Opis |
| Zastosowana technika | Obniżenie wersji składników jądra systemu Windows |
| Cel | Omiń poprawki bezpieczeństwa |
| Ukierunkowane komponenty | Jądro, biblioteka DLL, przestarzałe sterowniki |
| Mechanizm obronny ominięty | Egzekwowanie podpisu kierowcy |
| Konsekwencje dla systemu | Instalowanie rootkitów |
| Ryzyko dla użytkownika | Utrata bezpieczeństwa i integralności systemu |
| Proponowane rozwiązanie | Regularne aktualizacje i unieważnianie przestarzałych plików |
| Znane luki | CVE-2024-21302, CVE-2024-38202 |
| Wykazano wpływ | Prezentowane na konferencjach BlackHat i DEFCON |
| Zalecana ochrona | Korzystanie z oprogramowania antywirusowego i monitorowanie aktualizacji |
Comments
Leave a comment