Vượt qua ký trình điều khiển Windows
- Kẻ tấn công có thể hạ cấp các thành phần kernel của Windows để vượt qua các tính năng bảo mật như cưỡng chế ký trình điều khiển, và cài rootkit lên cả những hệ thống đã được vá đầy đủ.
- Bằng cách kiểm soát quy trình Windows Update, chúng có thể đưa các thành phần phần mềm cũ và dễ bị tấn công vào những hệ thống mới nhất.
Hạ cấp Windows
- Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach đã báo cáo vấn đề về đối số cập nhật, nhưng Microsoft cho rằng nó không vượt qua ranh giới bảo mật nên đã bỏ qua.
- Leviev đã trình diễn khả năng tấn công tại các hội nghị bảo mật BlackHat và DEFCON, và vấn đề đến nay vẫn chưa được giải quyết.
- Nhà nghiên cứu đã công bố công cụ Windows Downdate, cho phép tạo các bản hạ cấp tùy chỉnh và phơi bày lại những lỗ hổng đã được sửa thông qua các thành phần cũ.
- Leviev cho thấy có thể vượt qua tính năng Driver Signature Enforcement (DSE), nạp các trình điều khiển kernel không được ký và triển khai mã độc rootkit để vô hiệu hóa các cơ chế kiểm soát bảo mật.
Nhắm vào kernel
- Leviev mô tả cách lạm dụng quy trình Windows Update để vượt qua cơ chế bảo vệ DSE.
- Có thể thay thế tệp
ci.dll bằng phiên bản chưa được vá để bỏ qua việc ký trình điều khiển và vượt qua các kiểm tra bảo vệ của Windows.
- Việc thay thế này được kích hoạt bởi Windows Update, khai thác điều kiện đọc kép trong đó Windows xác minh bản sao mới nhất trong khi một bản sao
ci.dll dễ bị tấn công được nạp vào bộ nhớ.
- Ông cũng giải thích các cách vô hiệu hóa hoặc vượt qua VBS (bảo mật dựa trên ảo hóa).
Tóm tắt của GN⁺
- Bài viết này mô tả cách khai thác lỗ hổng bảo mật trên hệ thống Windows để vượt qua cơ chế cưỡng chế ký trình điều khiển và cài rootkit.
- Các cuộc tấn công này khả thi bằng cách lạm dụng quy trình Windows Update để hạ cấp các thành phần đã được vá.
- Điều này nhấn mạnh rằng các công cụ bảo mật cần giám sát chặt chẽ quy trình hạ cấp, đặc biệt ngay cả khi nó không bị xem là vượt qua ranh giới bảo mật quan trọng.
- Một công cụ bảo mật khác có chức năng tương tự được khuyến nghị là giải pháp EDR (Endpoint Detection and Response).
1 bình luận
Ý kiến trên Hacker News
Microsoft cho rằng UAC không phải là ranh giới bảo mật. Họ nói việc bắt buộc ký driver là một tính năng bảo mật, nhưng trong trường hợp này lại cho rằng nó không vượt qua ranh giới bảo mật
Có ý kiến từ người dùng cho rằng đang thiếu một mô hình khái niệm để hiểu vì sao Windows dễ bị tấn công
Người dùng có quyền quản trị có thể thực hiện hành động tùy ý trên máy tính. Có người thắc mắc liệu có khác biệt tinh vi nào làm tăng mức độ nghiêm trọng của cuộc tấn công này hay không
Có ý kiến cho rằng khó tin việc Microsoft vẫn phản đối dù đã có bản demo. Tài khoản Vimeo này còn có nhiều phát hiện bảo mật khác
Với quyền quản trị, có thể thực thi mã kernel để người dùng root cài rootkit. Nhà nghiên cứu đã công bố một công cụ tên là Windows Downdate
Trên Windows và Linux, tài khoản cục bộ với quyền thông thường trên thực tế gần như tương đương root. Có ý kiến bàn về sự khác biệt giữa UAC và sudo. Cũng có ý kiến cho rằng tốt hơn là nên loại bỏ cả hai trong cấu hình mặc định
Kernel thực thi các quy tắc chia sẻ tệp, nhưng không kiểm tra quyền xung đột đối với memory mapping. Linux đã loại bỏ khóa bắt buộc
Cuộc tấn công đơn giản đến mức đáng ngờ. Nó đánh lừa quy trình cập nhật để cài các phiên bản cũ của thành phần kernel dễ bị tổn thương. Có ý kiến cho rằng Microsoft hẳn đã từng xem xét vấn đề này rồi
Có người nhớ lại những khó khăn khi Microsoft bắt buộc ký driver. Đồng thời dành lời khen cho Alon Leviev và SafeBreach vì đã phát hiện ra lỗ hổng này
Có ý kiến cho rằng có thể tinh chỉnh Windows 11 để biến nó thành một hệ điều hành tốt hơn, nhưng nên tập trung vào rootkit