Руткіти, здатні обходити засоби захисту Windows шляхом зниження версії оновлень

THE Руткіти становлять значну загрозу для систем Windows, оскільки вони можуть обійти оновлення безпеки, використовуючи певну вразливість. Цей прийом, наз атака пониження, дозволяє кіберзлочинцям повернутися до попередніх версій системи, залишаючи комп’ютери вразливими, навіть якщо вони оновлені. Обробляючи такі компоненти, як Ядро Windows і в обхід функцій безпеки, таких як Перевірка підпису драйвера, зловмисники можуть проникнути в систему, встановити руткіти та приховати свою шкідливу діяльність, загрожуючи тим самим цілісності системи.

У сучасному ландшафті кібербезпеки руткіти продовжують становити серйозну загрозу для операційних систем, включаючи Windows. Нещодавно було виявлено, що руткіти можуть використовувати вразливість, знижуючи версії оновлень безпеки, таким чином обходячи вбудовані засоби захисту навіть на найсучасніших системах. У цій статті досліджується природа цієї вразливості, методи, за допомогою яких зловмисники можуть скористатися нею, і наслідки для безпеки системи.

Руткіти, здатні обходити засоби захисту Windows

THE руткіти це складні шкідливі програми, призначені для приховування всередині операційної системи та надання хакерам прихованого доступу. Їх часто важко виявити через їх здатність приховувати зміни, які вони вносять у систему. Що робить руткіти особливо небезпечними, так це їх здатність вимикати основний захист, дозволяючи кіберзлочинцям взяти під контроль комп’ютер без відома користувача.

Нещодавнє відкриття Алона Левієва, дослідника кібербезпеки, підкреслює критичний недолік у процесі оновлення вікна. Кіберзлочинці можуть використовувати методи атаки, щоб повернути або знизити застосовані оновлення безпеки, таким чином повторно вводячи вразливі компоненти в систему. Це відкриває шлях для виконання руткіти здатний обійти захисні механізми, такі як Перевірка підпису драйвера (DSE).

Процес зниження версії оновлень Windows

Вразливість полягає в здатності зловмисників маніпулювати Windows Update і замінити останні компоненти на застарілі та вразливі версії. Використовуючи цей недолік, здавалося б, сучасна система може миттєво стати вразливою. Особливе занепокоєння викликає те, що це дозволяє хакерам обійти важливі заходи безпеки, не залишаючи жодних видимих ​​слідів.

Як працює перевірка підпису драйвера

Функціональність Перевірка підпису драйвера у Windows відіграє вирішальну роль у забезпеченні того, що можна завантажити лише драйвери з дійсним цифровим підписом. Це запобігає завантаженню потенційно шкідливого програмного забезпечення на рівні ядра. На жаль, обходячи цей захід, зловмисники можуть завантажити непідписані драйвери для встановлення руткіти, що серйозно загрожує безпеці системи.

Інструмент Windows Downdate

Левієв продемонстрував ефективність цієї атаки за допомогою розробленого ним інструменту під назвою Windows Update. Цей інструмент підкреслює легкість, з якою критичні компоненти Windows можна замінити або повернути до попередньої версії, навіть якщо система має бути захищена. Одна з технік атаки, яку він описує, використовує вразливість файлу

ci.dll

обійти правила безпеки.

Проблеми безпеки на основі віртуалізації (VBS)

там Безпека на основі віртуалізації (VBS) — це ще один рівень захисту, призначений для захисту основних елементів, таких як механізм цілісності коду ядра. Однак певні конфігурації можна використати, щоб вимкнути цей захист, коли файли подобаються

SecureKernel.exe

замінюються, що полегшує перехід на критичні компоненти.

Зусилля та відповіді Microsoft

Хоча Microsoft виявила деякі ключові вразливості, пов’язані з цими атаками, і вже випустила виправлення для деяких основних експлойтів (CVE-2024-21302 і CVE-2024-38202), проблема залишається значною. Це вимагає не тільки точної ідентифікації можливих векторів атаки, але й постійного оновлення, щоб гарантувати, що процес Windows Update не можуть бути скомпрометовані неавторизованими особами.

Порівняння руткітів за допомогою Windows Update Downgrade