В быстро меняющемся ландшафте кибербезопасности, поставщики программного обеспечения и операционных систем все больше сосредотачиваются на укреплении своих продуктов против потенциальных угроз. Срочность обусловлена суровой реальностью: в то время как злоумышленники тратят значительное время на выявление уязвимостей нулевого дня, они могут с пугающей скоростью использовать существующие слабые места в устаревшем программном обеспечении. Это вызвало тревожную тенденцию, когда атакующие стремятся понизить системы до более ранних, более уязвимых версий.
Знаковым случаем, иллюстрирующим это явление, стало появление вредоносного ПО BlackLotus UEFI BootKit. Это сложное вредоносное ПО эффективно понизило Windows Boot Manager до версии, подверженной эксплуатации через CVE-2022-21894. Эта уязвимость позволяет злоумышленникам обходить Secure Boot, тем самым отключая важные механизмы безопасности ОС и обеспечивая постоянный доступ к скомпрометированным системам.
Примечательно, что BlackLotus UEFI BootKit продемонстрировал свою способность работать на полностью обновленных системах Windows 11, даже с включенным Secure Boot. Исследователи использовали этот метод для достижения повышения привилегий и обхода функций безопасности, что вызывает серьезные опасения по поводу надежности текущих мер безопасности.
Windows Zero-day Downgrade Attack
В ходе новаторского открытия исследователи выявили критическую уязвимость, позволившую им взять под контроль процесс обновления Windows. Это привело к созданию инструмента под названием Windows Downdate, способного понижать обновления и обходить важные шаги проверки, включая проверку целостности и принудительное выполнение Trusted Installer.
С помощью этого метода исследователи успешно понизили критические компоненты ОС, такие как DLL, драйверы и ядро NT. Удивительно, но операционная система продолжала сообщать о себе как о полностью обновленной, что делало невозможным установку будущих обновлений. Инструменты восстановления и сканирования также не смогли обнаружить основные проблемы в операционной системе.
Дальнейшее обострение атаки произошло, когда исследователи смогли понизить ключевые функции безопасности, включая изолированный процесс пользователя Credential Guard, Secure Kernel и гипервизор Hyper-V, что открыло ранее исправленные уязвимости повышения привилегий. Это привело к сценарию, когда полностью обновленная машина Windows стала уязвимой для тысяч ранее исправленных уязвимостей, эффективно превращая их в нулевые дни, при этом вводя ОС в заблуждение относительно ее "полной обновленности".
Архитектура обновления Windows
На недавней конференции Black Hat USA 2024 компания Safebreach подробно рассказала об intricacies этой атаки. Согласно документации Windows, архитектура обновления Windows включает клиент обновлений и сервер обновлений. Клиент обновлений обычно работает с привилегиями администратора, в то время как Trusted Installer применяется на стороне сервера, обеспечивая невозможность модификации системных файлов даже администраторами и NT SYSTEM без прохождения через Trusted Installer.
Процесс обновления Windows (Источник: Safebreach)
Процесс обновления Windows следует структурированному процессу:
- Клиент запрашивает сервер выполнить обновления, содержащиеся в папке обновлений.
- Сервер проверяет целостность папки обновлений.
- После проверки сервер обрабатывает папку обновлений для завершения файлов обновлений, которые хранятся в папке под контролем сервера, недоступной для клиента.
- Сервер ведет журнал действий в списке под названием "pending.xml", детализируя какие файлы обновлять, их источник и назначение и другие релевантные данные.
