吳明宜研究人員上周展示一項新 Windows 降級手法,可讓攻擊者透過 Windows Update 在目標電腦植入 Windows 核心 Rootkit 程式。
資安廠商 SafeBreach 研究人員 Alon Leviev 日前在 Black Hat USA 展示,一個具備管理員權限的攻擊者,可讓受害者 PC 下載未簽章的核心驅動程式,繞過 Windows Update 的 DSE (Driver Signature Enforcement) 防護,在 Windows 電腦中植入 rootkit 程式,再關閉 Windows 核心安全控制、隱匿活動蹤跡,躲避安全產品偵測。
為了強化 Windows 安全性,在 Windows Vista 之後的版本加入驅動程式強制簽章 (Driver Signature Enforcement),經過合法簽章的驅動程式才能載入 Windows 。但研究人員仍然發現方法降級 Windows 安全性。 Leviev 利用另一名研究人員,Elastic 公司的 Gabriel Landau 發現到 Windows 一群漏洞,稱為假檔案免疫漏洞 (false file immutability flaws) 發展而成,這些漏洞能讓攻擊者以核心權限遠端於 Windows 執行任意程式碼。 Leviev 將其手法稱之為 ItsNotASecurityBoundary 攻擊。
根據研究人員說明,這手法是透過接管 Windows Update 將負責 Windows DSE 執行的檔案 ci.dll 置換成山寨版本的 DLL 檔,使 DSE 運作失靈,無法封鎖未簽章的驅動程式下載,基本上就是繞過了 Windows DSE 防護。一經重啟 Windows 即能完成本攻擊手法,之後再下載惡意 rootkit 作亂。
研究人員另外提及今年稍早破壞 Windows 虛擬化安全 (Virtualization-based Security, VBS) 的手法。 VBS 是將重要資源如核心程式碼置於隔離 VM 環境,並利用 UEFI 鎖或登錄檔配置手法,防止重要資訊,如程式碼金鑰或用戶憑證被惡意程式變更。但是如果沒有設為最高安全等級,攻擊者就可能透過變更登錄金鑰來降級它。例如攻擊者可將必要檔案 SecureKernel.exe 置換成有漏洞的版本,再執行 ItsNotASecurityBoundary,再置換 ci.dll 檔,以降級最新更新的 Windows 的安全防護。
研究人員今年稍早已通報微軟 CVE-2024-21302 及 CVE-2024-38202 二個和 VBS 降級的漏洞,其中在 8 月份安全更新修補 CVE-2024-21302,CVE-2024-38202 則是 10 月 8 日修補。
但是研究人員說,微軟並未修補 Windows Update 的問題,因為這並不是跨越「安全邊界」的問題。 Leviev 二個月前也公佈了名為 Windows Downdate 的工具,可讓使用者將升級到最新版 Windows 11 的電腦,降級為使用漏洞版本的元件,包括 DLL 、驅動程式或 NT 核心元件。
微軟方面稍早表示,正在針對此問題發展緩和風險的作法,降低可能的風險。在微軟修正問題前,研究人員建議管理員得採用能監看和偵測降級攻擊的安全產品。