Ερευνητές ασφαλείας από την SafeBreach ανακάλυψαν μια επίθεση υποβάθμισης των Windows που είναι αόρατη, επίμονη, μη αναστρέψιμη και ίσως ακόμη πιο επικίνδυνη από το BlackLotus UEFI bootkit του περασμένου έτους.
Αφού είδε τη ζημιά που θα μπορούσε να κάνει το UEFI bootkit παρακάμπτοντας τις διαδικασίες ασφαλούς εκκίνησης στα Windows, ο Alon Leviev της SafeBreach αναρωτήθηκε εάν υπήρχαν άλλα θεμελιώδη στοιχεία των Windows που θα μπορούσαν να χρησιμοποιηθούν με παρόμοιο τρόπο. Είχε jackpot σε ένα από τα πιο απίθανα μέρη: Στη διαδικασία ενημέρωσης των Windows.
“Βρήκα έναν τρόπο να αναλάβω τις ενημερώσεις των Windows για να ενημερώσω το σύστημα, αλλά με έλεγχο όλων των πραγματικών περιεχομένων ενημέρωσης”, ανέφερε ο Leviev σε μια συνέντευξή του ενόψει της παρουσίασης που θα κάνει στο συνέδριο Black Hat USA σήμερα, που θα περιγράψει λεπτομερώς τα ευρήματά του.
Χρησιμοποιώντας την τεχνική του, έχοντας παραβιάσει ένα μηχάνημα για να μπορέσει να μπει ως κανονικός χρήστης, ο Leviev μπόρεσε να ελέγξει ποια αρχεία ενημερώνονται, ποια κλειδιά μητρώου αλλάζουν, ποιοι εγκαταστάτες μπορούν να χρησιμοποιηθούν και άλλα παρόμοια.
Ο Leviev μπόρεσε να τα κάνει όλα αυτά, παραμερίζοντας κάθε μεμονωμένη επαλήθευση ακεραιότητας που εφαρμόστηκε στη διαδικασία ενημέρωσης των Windows.
Μετά από αυτό, “κατάφερα να υποβαθμίσω τον πυρήνα του λειτουργικού συστήματος, τα DLL, τα προγράμματα οδήγησης … βασικά όλα όσα ήθελα.”
Για να κάνει τα πράγματα χειρότερα, ο Leviev ανέφερε ότι επιλέγοντας τρωτά σημεία μπόρεσε να επιτεθεί σε ολόκληρο το Windows virtualization stack, συμπεριλαμβανομένων των χαρακτηριστικών ασφαλείας που βασίζονται σε εικονικοποίηση (VBS) που υποτίθεται ότι απομονώνουν τον πυρήνα και κάνουν την πρόσβαση του εισβολέα λιγότερο σημαντική.
