spot_img
22.1 C
São Paulo
spot_img
HomeTop Global NewsAIVulnerabilidades e Ataques em Sistemas Windows: O Perigo do Downgrade

Vulnerabilidades e Ataques em Sistemas Windows: O Perigo do Downgrade

mitigacao-ataques-windows-11
Mitigação de Ataques de Downgrade em Windows 11
Alegon
By Alegon

<

div data-module=”content” class=”ContentModule-Wrapper”>

Sistemas Windows 11 totalmente atualizados são vulneráveis a ataques que permitem a um adversário instalar rootkits personalizados que podem neutralizar mecanismos de segurança de endpoint, ocultar processos maliciosos e atividade de rede, manter persistência e furtividade em um sistema comprometido, entre outros.

O ataque envolve uma técnica de ataque de downgrade do sistema operacional Windows demonstrado na Black Hat USA 2024, onde uma ferramenta de exploração chamada Windows Downdate foi utilizada para manipular o processo de atualização do Windows, revertendo componentes totalmente atualizados de volta a um estado anteriormente vulnerável.

Ataque de Downgrade do Windows OS

Como parte da demonstração, foi mostrado como o ataque funcionaria mesmo em situações onde a segurança baseada em virtualização (VBS) estivesse ativada para proteger componentes críticos do sistema operacional. O pesquisador reverteu recursos da VBS, como o Kernel Seguro e o Modo de Processo Isolado do Credential Guard, para expor vulnerabilidades de escalonamento de privilégio que a Microsoft já havia abordado anteriormente.

“Consegui tornar uma máquina Windows totalmente atualizada suscetível a vulnerabilidades passadas, transformando vulnerabilidades corrigidas em não corrigidas e tornando o termo ‘totalmente atualizado’ sem sentido em qualquer máquina Windows no mundo”.

Desde então, a Microsoft corrigiu duas vulnerabilidades (CVE-2024-21302 e CVE-2024-38202) relatadas e exploradas como parte da cadeia de ataque. A Microsoft ainda não abordou a capacidade de um atacante com acesso de administrador abusar do próprio processo de atualização do Windows para reverter componentes críticos do sistema operacional de volta a estados inseguros.

Não é uma Vulnerabilidade de Segurança?

O problema está relacionado à recusa da Microsoft em considerar a habilidade de um usuário de nível administrador em ganhar execução de código no kernel como uma violação de uma fronteira de segurança. “A Microsoft resolveu todas as vulnerabilidades que resultaram da violação de uma fronteira de segurança definida”.

Para mostrar por que isso continua a ser uma ameaça, foi liberado detalhes de um novo ataque de downgrade que utiliza a ferramenta Windows Downdate para reviver um ataque de contorno de aplicação de assinatura de driver (DSE) mitigado pela Microsoft. Este ataque permite que um atacante explore o problema para carregar drivers de kernel não assinados e implantar rootkits personalizados.

Leviev afirma que tudo o que ele teve que fazer para executar o ataque foi identificar o módulo específico do sistema operacional (CI.dll) ao qual a Microsoft aplicou a correção e usar a ferramenta Downdate para reverter o módulo de volta à sua versão não corrigida.

“Reverter apenas ci.dll para sua versão não corrigida funciona bem contra uma máquina Windows 11 23h2 totalmente atualizada. O pesquisador acrescentou que conseguiu explorar o problema mesmo quando a VBS estava ativada.”

<

p class=”ContentParagraph ContentParagraph_align_left” data-testid=”content-paragraph”> Um pesquisador sênior de ameaças descreveu os ataques do Windows Downdate como aproveitando o fato de que o Windows nem sempre valida os números de versão de suas DLLs ao carregá-las. Isso permite que

Quais são os métodos de mitigação contra ataques de downgrade em sistemas Windows 11?

Para mitigar ataques de downgrade em sistemas Windows 11, vários métodos e recomendações foram delineados por pesquisadores de segurança e pela Microsoft.

Monitorar Ações do Trusted Installer

Organizações devem monitorar as ações do Trusted Installer, que é responsável por instalar e atualizar componentes do sistema. Isso pode ajudar a detectar e prevenir downgrades não autorizados de componentes críticos do sistema.

Implementar Verificação de Versão

Implementar verificação de versão para prevenir downgrades de componentes do sistema para versões mais antigas e vulneráveis. Isso pode ser feito através de políticas de segurança e ferramentas de monitoramento.

Manter o Sistema Atualizado

Manter o sistema sempre atualizado com os últimos patches de segurança disponíveis. Embora os ataques de downgrade possam revertê-los, aplicar patches de segurança regularmente reduz o risco de exploração de vulnerabilidades conhecidas.

Seguir Recomendações de Segurança da Microsoft

A Microsoft emitiu advisories sobre as vulnerabilidades CVE-2024-38202 e CVE-2024-21302, proporcionando recomendações de mitigação até que uma solução definitiva seja liberada. Seguir essas recomendações pode ajudar a reduzir o risco de exploração.

Proteger Contra a Bypass de VBS

Os ataques de downgrade podem contornar a Segurança Baseada em Virtualização (VBS) e suas características, como o Credential Guard e o Hypervisor-Protected Code Integrity (HVCI). Monitorar e proteger essas funcionalidades é crucial para manter a integridade do sistema.

Testar e Validar Atualizações

A Microsoft está desenvolvendo uma atualização para revogar arquivos do sistema VBS obsoletos e não parchados. No entanto, devido à complexidade, é importante testar rigorosamente essas atualizações para evitar falhas de integração ou regressões.

Vigilância Contínua

Manter vigilância contínua sobre o estado de segurança dos sistemas e estar atento a futuras atualizações e advertências de segurança relacionadas a vulnerabilidades de Windows para minimizar o risco de exploração.

Conclusão

Em resumo, a mitigação de ataques de downgrade em sistemas Windows 11 requer uma abordagem multifacetada que inclui monitoramento, atualização constante e vigilância contínua. Ao seguir as recomendações de segurança e implementar medidas de proteção adequadas, é possível reduzir significativamente o risco de exploração de vulnerabilidades e garantir a integridade do sistema.

Fontes de pesquisa:

Fonte

#cryptoalch, #Ataque, #Windows, #Downgrade, #Segurança, #Vulnerabilidades, #Rootkits, #Admin

Previous article
A Jornada da China na Cibersegurança: Concursos e Formação de Talentos
Next article
Sophos Reforça Serviços de MDR com Aquisição da SecureWorks

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us