PRKernel

Доставчик на новини в реално време в България, който информира своите читатели за последните български новини, събития, информация, пътувания, България.

Атака за понижаване на Windows заплашва да разкрие системи, закърпени за наследени уязвимости

Атака за понижаване на Windows заплашва да разкрие системи, закърпени за наследени уязвимости

08 август 2024 гРави ЛакшмананСигурност/уязвимости в Windows

Microsoft заяви, че разработва актуализации за защита, за да се справи с две уязвимости, които според него могат да бъдат използвани за стартиране на атаки за понижаване на Windows и замяна на текущи версии на файлове на Windows с по-стари версии.

Уязвимостите са изброени по-долу –

  • CVE-2024-38202 (CVSS резултат: 7.3) – Уязвимост при повишаване на привилегиите в пакета Windows Update
  • CVE-2024-21302 (CVSS резултат: 6.7) – Уязвимост при повишаване на привилегиите в режим Kernel Secure Windows

Заслугата за откриването и докладването на пропуските е на изследователя на SafeBreach Labs Алон Левиев, който представи резултатите в Черна шапка САЩ 2024 И Def Con 32.

Киберсигурност

CVE-2024-38202, който се вкоренява в компонента за архивиране на Windows, позволява на „нападател с основни потребителски привилегии да въведе отново смекчени преди това уязвимости или да заобиколи определени функции за защита, базирана на виртуализация (VBS),“ каза технологичният гигант.

Въпреки това се отбелязва, че нападател, който се опитва да се възползва от уязвимостта, ще трябва да убеди системен администратор или потребител с делегирани разрешения да извърши възстановяване на системата, като по невнимание задейства уязвимостта.

Втората уязвимост също е свързана със ситуация на ескалация на привилегии на Windows системи, които поддържат VBS, което ефективно позволява на атакуващ да замени текущите версии на системните файлове на Windows с по-стари версии.

Последствията от CVE-2024-21302 са, че той може да бъде въоръжен, за да въведе отново адресирани по-рано пропуски в сигурността, да заобиколи някои функции на VBS и да извлече данни, защитени от VBS.

Атака за понижаване на Windows

Левиев, който описва инструмент, който нарече Windows Downdate, Той каза Може да се използва, за да превърне „напълно закърпен компютър с Windows в уязвим на хиляди предишни уязвимости, превръщайки постоянните уязвимости в непроницаеми уязвимости и обезсмисляйки термина „напълно закърпен“ на който и да е компютър с Windows в света.“

READ  Слух: Zelda: Tears Of The Kingdom Switch OLED може да бъде официално представен днес

Левиев добави, че инструментът може да „отвлече процеса на актуализиране на Windows, за да създаде неоткриваеми, невидими, постоянни и необратими актуализирани версии на основните компоненти на операционната система – което ми позволи да ескалирам привилегиите и да заобиколя функциите за сигурност.“

Освен това Windows Downdate е в състояние да заобиколи стъпките за проверка, като проверка на целостта и прилагане на доверен инсталатор, което прави възможно ефективно понижаване на критични компоненти на операционната система, включително библиотеки с динамични връзки (DLL), драйвери и NT ядро.

Киберсигурност

Освен това проблемите могат да бъдат използвани за понижаване на процеса на изолиран потребителски режим в Credential Guard, Secure Kernel и хипервайзора на Hyper-V, за да се разкрият уязвимости при ескалация на предишни привилегии, както и да се деактивира VBS, заедно с функции като Hypervisor Protected Code Integrity (HVCI) .

Крайният резултат е, че една напълно закърпена Windows система може да стане уязвима за хиляди предишни уязвимости, превръщайки фиксираните недостатъци в непоправени уязвимости.

Тези намаления имат допълнителен ефект от това, че операционната система отчита, че цялата система е актуална, като в същото време предотвратяват инсталирането на бъдещи актуализации и предотвратяват откриването им от инструменти за възстановяване и сканиране.

„Атаката за понижаване, която успях да изпълня на клъстера за виртуализация в Windows, беше възможна поради дефект в дизайна, който позволи на най-малко привилегированите виртуални нива/пръстени на доверие да актуализират компоненти, разположени в по-привилегировани виртуални нива/пръстени на доверие“, каза Левиев.

„Това беше много изненадващо, като се има предвид, че функциите на VBS на Microsoft бяха обявени през 2015 г., което означава, че повърхността за атака, която откри, съществува от почти десетилетие.“

READ  Някои захранващи кабели с 6 + 2 пина може да не пасват напълно на референтната карта Radeon RX 7600.

Намерихте ли тази статия за интересна? Следвай ни в Twitter И LinkedIn За да прочетете повече от изключителното съдържание, което публикуваме.