Uma nova técnica de ataque permite que invasores contornem a “Driver Signature Enforcement” (DSE) da Microsoft em sistemas Windows totalmente atualizados, permitindo ataques de downgrade no sistema operacional.
“Essa brecha permite o carregamento de drivers de kernel não assinados, permitindo que atacantes instalem rootkits personalizados para desativar controles de segurança, ocultar processos e atividades de rede, mantendo a invasão discreta e persistente,” explicou Alon Leviev, pesquisador da SafeBreach, em um relatório compartilhado com o The Hacker News.
Os novos achados expandem uma análise anterior que revelou duas falhas de escalonamento de privilégios no processo de atualização do Windows (CVE-2024-21302 e CVE-2024-38202). Essas falhas permitem reverter uma instalação atualizada do Windows para uma versão anterior com vulnerabilidades conhecidas, ainda não corrigidas.
O exploit, chamado de Windows Downdate, aproveita-se do processo de atualização do Windows para realizar downgrades irreversíveis e indetectáveis em componentes críticos do sistema operacional. Isso oferece aos invasores uma alternativa ao ataque “Traga Seu Próprio Driver Vulnerável” (BYOVD), permitindo o downgrade de módulos principais, incluindo o próprio kernel do sistema operacional.
A Microsoft corrigiu as falhas CVE-2024-21302 e CVE-2024-38202 nas atualizações de segurança de 13 de agosto e 8 de outubro de 2024. Ainda assim, Leviev desenvolveu uma nova abordagem utilizando o Windows Downdate para reverter o patch da DSE em um sistema atualizado do Windows 11.
Essa vulnerabilidade, inicialmente identificada por Gabriel Landau da Elastic Security Labs, explora uma condição de corrida para substituir um arquivo de catálogo de segurança verificado por uma versão maliciosa que contém uma assinatura para um driver não assinado. O mecanismo de integridade de código do Windows, então, valida e carrega o driver, concedendo ao invasor a capacidade de executar código arbitrário no kernel.
Para realizar o bypass da DSE, o invasor substitui a biblioteca “ci.dll” pela versão antiga (10.0.22621.1376), desfazendo o patch da Microsoft. Embora a Segurança Baseada em Virtualização (VBS) possa impedir esse ataque, a configuração padrão permite que um invasor desative o VBS por meio de alterações nas chaves de registro EnableVirtualizationBasedSecurity e RequirePlatformSecurityFeatures.
Mesmo com o bloqueio da UEFI ativo, o invasor pode desativar o VBS substituindo um dos arquivos principais por uma versão inválida. Para impedir o ataque, o sistema deve ter o VBS ativado com bloqueio da UEFI e o modo "Obrigatório" definido, o que causa falha na inicialização caso os módulos de virtualização sejam corrompidos.
Portanto, para mitigar totalmente o ataque, é fundamental que o VBS seja ativado com o bloqueio UEFI e o modo Obrigatório configurados.
Via - THN
Comments