Uma nova técnica de ataque pode ser usada para contornar a Reforço de Assinatura de Driver da Microsoft (DSE) em sistemas Windows totalmente atualizados, levando a ataques de downgrade do sistema operacional (SO).

Esse bypass permite o carregamento de drivers de kernel não assinados, permitindo que atacantes implantem rootkits personalizados que podem neutralizar controles de segurança, ocultar processos e atividades de rede, manter sigilo e muito mais.

As descobertas mais recentes se baseiam em uma análise anterior que descobriu duas falhas de escalonamento de privilégios no processo de atualização do Windows (CVE-2024-21302 e CVE-2024-38202) que poderiam ser exploradas para reverter um software do Windows atualizado para uma versão anterior contendo vulnerabilidades de segurança não corrigidas.

O exploit se materializou na forma de uma ferramenta chamada Windows Downdate, que poderia ser usada para sequestrar o processo de Atualização do Windows para criar downgrades completamente indetectáveis, persistentes e irreversíveis em componentes críticos do SO.

Isso pode ter consequências severas, já que oferece aos atacantes uma alternativa melhor do que os ataques Bring Your Own Vulnerable Driver (BYOVD), permitindo-lhes reverter módulos de primeira parte, incluindo o próprio kernel do SO.

A Microsoft abordou subsequentemente os problemas CVE-2024-21302 e CVE-2024-38202 em 13 de agosto e 8 de outubro de 2024, respectivamente, como parte das atualizações de Patch Tuesday.

A abordagem mais recente aproveita a ferramenta de downgrade para reverter o patch de bypass DSE “ItsNotASecurityBoundary” em um sistema Windows 11 totalmente atualizado.

ItsNotASecurityBoundary foi primeiramente documentado pelo pesquisador do Elastic Security Labs, Gabriel Landau, em julho de 2024, descrevendo-os como uma nova classe de bugs codinome Imutabilidade de Arquivo Falsa. A Microsoft remediou isso no início de maio passado.

Resumidamente, ele explora uma condição de corrida para substituir um arquivo de catálogo de segurança verificado por uma versão maliciosa contendo uma assinatura authenticode para um driver de kernel não assinado, após o qual o atacante solicita ao kernel que carregue o driver.

O bypass DSE é alcançado utilizando a ferramenta de downgrade para substituir a biblioteca “ci.dll” por uma versão anterior (10.0.22621.1376) para desfazer o patch imposto pela Microsoft.

Dito isso, existe uma barreira de segurança que pode impedir que tal bypass seja bem-sucedido. Se a Segurança Baseada em Virtualização (VBS) estiver em execução no host alvo, a verificação de catálogo é realizada pela DLL de Integridade de Código do Kernel Seguro (skci.dll), ao invés de ci.dll.

No entanto, vale ressaltar que a configuração padrão é VBS sem um Bloqueio de Interface de Firmware Extensível Unificado (UEFI). Como resultado, um atacante poderia desativá-la manipulando as chaves de registro EnableVirtualizationBasedSecurity e RequirePlatformSecurityFeatures.

Mesmo em casos onde o bloqueio UEFI está habilitado, o atacante poderia desativar a VBS substituindo um dos arquivos centrais por um equivalente inválido. Em última análise, os passos de exploração que um atacante precisa seguir são os seguintes –

• Desativar a VBS no Registro do Windows ou invalidar o SecureKernel.exe
• Reverter ci.dll para a versão não corrigida
• Reiniciar a máquina
• Explorar o bypass DSE ItsNotASecurityBoundary para obter execução de código em nível de kernel

A única instância em que falha é quando a VBS está ativada com um bloqueio UEFI e uma flag “Obrigatória”, a qual causa falha de inicialização quando os arquivos da VBS estão corrompidos. O modo Obrigatório é ativado manualmente por meio de uma alteração no registro.

Esses eventos evidenciam que a configuração Obrigatória impede que o carregador do SO continue a inicializar caso o Hipervisor, o Kernel Seguro ou um dos módulos dependentes falhem ao carregar. Assim, para mitigar completamente o ataque, é essencial que a VBS esteja habilitada com bloqueio UEFI e a flag Obrigatória ativada. Em qualquer outro modo, possibilita que um adversário desative a funcionalidade de segurança, execute o downgrade DDL e obtenha um bypass de DSE.

A principal lição é que soluções de segurança devem tentar detectar e prevenir procedimentos de downgrade mesmo para componentes que não cruzam limites de segurança definidos.

Quais os passos para mitigar o bypass DSE em sistemas Windows?

Para mitigar o bypass da Driver Signature Enforcement (DSE) em sistemas Windows, especialmente considerando a nova técnica de ataque conhecida como Windows Downgrade e o bypass ItsNotASecurityBoundary, são necessários os seguintes passos:

Atualize o Sistema

• Mantenha o sistema operacional e todos os componentes críticos atualizados com as últimas atualizações de segurança. A Microsoft já abordou algumas das vulnerabilidades relacionadas (CVE-2024-21302 e CVE-2024-38202) em atualizações de Patch Tuesday.

Habilitar Segurança Baseada em Virtualização (VBS)

• Ative a Segurança Baseada em Virtualização (VBS) com um bloqueio de Interface de Firmware Extensível Unificado (UEFI) e a flag “Obrigatória”. Isso impede que o carregador do SO continue a inicializar se os arquivos da VBS estiverem corrompidos, proporcionando uma camada adicional de proteção.

Desabilitar Modificações no Registro

• Evite que os atacantes desativem a VBS manipulando as chaves de registro EnableVirtualizationBasedSecurity e RequirePlatformSecurityFeatures. A configuração com a flag “Obrigatória” deve ser mantida para prevenir a desativação da VBS mesmo se os arquivos forem substituídos por versões inválidas.

Monitoramento de Downgrade

• Implemente soluções de segurança de endpoint para detectar e prevenir procedimentos de downgrade, mesmo para componentes que não cruzam limites de segurança definidos. Isso é crucial para identificar e responder a tentativas de exploração.

Proteção de Rede e Detecção de Atividades Maliciosas

• Implemente medidas robustas de segurança de rede e use soluções de detecção e resposta a endpoints (EDR) para detectar e responder a atividades maliciosas, incluindo tentativas de downgrade e carregamento de drivers não assinados.

Resumo dos Passos Específicos para Mitigação

Resumidamente, os passos específicos para mitigar o ataque incluem:

• Desativar a VBS no Registro do Windows ou invalidar o SecureKernel.exe: Evite que isso aconteça mantendo a VBS habilitada com bloqueio UEFI e flag “Obrigatória”.
• Reverter ci.dll para a versão não corrigida: Prevenir isso garantindo que o sistema esteja atualizado e que a VBS esteja configurada corretamente.
• Reiniciar a máquina: Evite reinicializações desnecessárias e monitore as atividades do sistema.
• Explorar o bypass DSE ItsNotASecurityBoundary: Isso pode ser prevenido com a configuração adequada da VBS e monitoramento de segurança.

Fontes de Pesquisa

• New Windows Driver Signature bypass allows kernel rootkit installs
• Researchers Uncover OS Downgrade Vulnerability Targeting …
• New Attack Lets Hackers Downgrade Windows to Exploit Patched …

Conclusão

A mitigação do bypass DSE em sistemas Windows é crucial para garantir a segurança e integridade do sistema. Ao seguir os passos mencionados, como a atualização constante do sistema, a habilitação da Segurança Baseada em Virtualização (VBS) e a implementação de monitoramento rigoroso, é possível reduzir significativamente os riscos associados a ataques que exploram vulnerabilidades de kernel e técnicas de downgrade. A vigilância contínua e a prontidão para responder a atividades suspeitas são essenciais para manter a segurança em ambientes Windows.
Fonte

#cryptoalch, #Windows, #Segurança, #DSE, #Kernel, #Attack