Uma nova técnica de desvio de assinatura de driver no Windows permite que invasores instalem rootkits no kernel, explorando vulnerabilidades para contornar o Driver Signature Enforcement (DSE) e comprometer sistemas aparentemente atualizados. Esse ataque funciona ao forçar um downgrade de componentes críticos do kernel, aproveitando-se do controle do processo de atualização do Windows para introduzir versões desatualizadas e vulneráveis de componentes em máquinas totalmente corrigidas, sem alterar o status de "totalmente atualizado" do sistema.
O pesquisador de segurança Alon Leviev, da SafeBreach, relatou esse problema à Microsoft, mas a empresa descartou o caso, afirmando que a falha não ultrapassa um limite crítico de segurança, embora permita execução de código do kernel com privilégios administrativos. Leviev demonstrou a viabilidade do ataque durante as conferências BlackHat e DEFCON, evidenciando que o problema persiste sem correções e abrindo portas para novos ataques de downgrade.
Para ilustrar a vulnerabilidade, Leviev desenvolveu a ferramenta "Windows Downdate", que possibilita a criação de downgrades personalizados para expor sistemas aparentemente corrigidos a falhas previamente resolvidas. Através dessa técnica, DLLs, drivers e o próprio kernel do NT podem ser substituídos por versões antigas e vulneráveis, invalidando o status de “totalmente corrigido” dos sistemas Windows. "Eu consegui tornar uma máquina Windows totalmente corrigida suscetível a vulnerabilidades antigas, anulando correções e tornando o termo ‘totalmente corrigido’ irrelevante para qualquer máquina Windows", disse Leviev.
Apesar das melhorias significativas na segurança do kernel ao longo dos anos, Leviev conseguiu contornar o DSE, possibilitando o carregamento de drivers de kernel não assinados, que podem implantar rootkits para desativar controles de segurança e ocultar atividades maliciosas. Embora o reforço da segurança do kernel tenha tornado ataques mais desafiadores, "a capacidade de fazer downgrade de componentes do kernel facilita o trabalho dos invasores", ressaltou o pesquisador.
Leviev classificou o desvio de DSE como "ItsNotASecurityBoundary", uma técnica que explora falhas na imutabilidade de arquivos e permite execução de código arbitrário com privilégios de kernel, categoria de vulnerabilidade originalmente descrita por Gabriel Landau, da Elastic. Em resposta ao relatório de Landau, a Microsoft corrigiu uma falha de escalonamento de privilégios administrativos para o kernel do ItsNotASecurityBoundary, mas o patch não oferece proteção contra ataques de downgrade.
Na nova pesquisa publicada hoje, Leviev demonstra como é possível manipular o Windows Update para ignorar a proteção DSE, mesmo em sistemas atualizados com o Windows 11. Isso é feito ao substituir o "ci.dll" — responsável pela verificação de assinaturas de driver — por uma versão sem patch, permitindo a execução de drivers não assinados. Esse processo explora uma condição de "janela de corrida" em que uma cópia vulnerável do "ci.dll" é carregada na memória logo após a inicialização da verificação do Windows sobre a cópia atualizada.
Carregando a DLL antiga enquanto o Windows verifica a versão mais recente
Fonte: SafeBreach
Em seu vídeo demonstrativo, Leviev mostra como reverteu o patch de DSE com um ataque de downgrade em um sistema Windows 11 versão 23H2. Além disso, ele explica técnicas para desativar ou contornar o recurso de Segurança Baseada em Virtualização (VBS) da Microsoft, que isola o ambiente do Windows para proteger arquivos e credenciais sensíveis, como o mecanismo seguro "skci.dll". Leviev destaca que, em sistemas com configurações de VBS parciais, arquivos críticos, como o "SecureKernel.exe", podem ser substituídos por versões corrompidas, enfraquecendo o VBS e permitindo a execução do ataque "ItsNotASecurityBoundary".
Leviev enfatiza que ataques de downgrade continuam possíveis por meio de diversos métodos, mesmo que algumas dessas técnicas exijam altos privilégios. Ele alerta para a importância de que ferramentas de segurança de endpoint monitorem procedimentos de downgrade, mesmo que eles não ultrapassem limites críticos de segurança, para evitar brechas que possam ser exploradas para comprometer a integridade do sistema.
Via - BC
Comments