Redazione RHC : 29 Ottobre 2024 07:19
Gli aggressori potrebbero eseguire il downgrade dei componenti del kernel di Windows per aggirare le funzionalità di sicurezza come Driver Signature Enforcement e implementare un rootkit su sistemi completamente aggiornati, ha avvertito lo specialista di SafeBreach Alon Leviev.
Secondo il ricercatore, un simile attacco è possibile se si prende il controllo del processo di Windows Update e si introducono componenti software obsoleti e vulnerabili nella macchina aggiornata, senza modificare lo stato del sistema operativo completo di patch.
All’inizio di quest’anno Leviev aveva già dimostrato che un simile attacco era fattibile, ma il problema non è ancora stato completamente eliminato, il che rende possibile un downgrade o un rollback della versione.
SCORSO DEL 25% SUL CORSO NIS2 FINO AL 31 DICEMBRE!
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi alla pagina del corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON NIS-84726 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ad agosto il ricercatore ha addirittura pubblicato lo strumento Windows Downdate, che può essere utilizzato per attacchi downgrade alle versioni downgrade di Windows 10, Windows 11 e Windows Server tramite componenti obsoleti come DLL, driver e kernel NT. Di conseguenza, ciò consente lo sfruttamento di vulnerabilità già corrette, poiché il sistema operativo diventa nuovamente vulnerabile a vecchi bug.
Ora il ricercatore afferma che, sebbene la sicurezza del kernel sia migliorata in modo significativo nel corso degli anni, è riuscito a bypassare la funzionalità Driver Signature Enforcement (DSE), dimostrando così che un utente malintenzionato può caricare driver del kernel non firmati e quindi distribuire un rootkit sulla macchina che disabilita la protezione e nasconde l’attività, che potrebbe portare al rilevamento di un hack.
Sebbene le nuove misure di sicurezza rendano più difficile compromettere il kernel, “la possibilità di eseguire il downgrade dei componenti presenti nel kernel rende molto più semplice il compito degli aggressori”, afferma Leviev.
Il ricercatore ha chiamato questo metodo di bypass DSE ItsNotASecurityBoundary perché è correlato al downgrade e all’exploit ItsNotASecurityBoundary, precedentemente identificato dagli specialisti di Elastic e che consente l’esecuzione di codice arbitrario con privilegi del kernel.
Il nuovo attacco si basa sulla sostituzione del file ci.dll, responsabile dell’implementazione di DSE, con una versione vulnerabile che ignora le firme dei driver, consentendogli di aggirare i controlli di sicurezza di Windows.
Sempre nel nuovo articolo, Leviev descrive i metodi per aggirare il meccanismo di sicurezza basato sulla virtualizzazione (VBS) di Microsoft, che crea un ambiente isolato per proteggere le risorse sensibili, incluso il meccanismo di integrità del codice del kernel (skci.dll) e le credenziali dell’utente autenticato.
Pertanto, VBS si basa in genere su meccanismi di sicurezza come blocchi UEFI e configurazioni del registro per impedire modifiche non autorizzate, ma questi possono essere disabilitati modificando le chiavi di registro se le impostazioni di sicurezza non sono massime (il flag “Mandatory“). Se parzialmente abilitati, i file chiave VBS (come SecureKernel.exe) possono essere sostituiti con versioni non valide, che interromperanno VBS e apriranno la strada alla sostituzione di ItsNotASecurityBoundary e ci.dll.
Come rileva Bleeping Computer, sebbene le vulnerabilità scoperte dall’esperto (CVE-2024-38202 e CVE-2024-21302) siano già state divulgate pubblicamente e dimostrate alle conferenze BlackHat e DEFCON, Microsoft non ha ancora risolto il problema associato a Windows Update.
Come afferma lo stesso Leviev, il problema non è stato risolto, poiché, secondo i rappresentanti di Microsoft, “un errore che consente di eseguire il codice del kernel come amministratore non supera un determinato limite di sicurezza (non è una vulnerabilità)”.
Tuttavia, Microsoft ha detto ai giornalisti che la società sta già “sviluppando attivamente protezioni contro questi rischi”, ma si tratta di un processo lento che prevede “un’indagine approfondita, lo sviluppo di aggiornamenti per tutte le versioni interessate e test di compatibilità” per evitare possibili guasti.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009