Обход VBS: хакер взломал последний рубеж защиты Windows

Специалист SafeBreach Алон Левиев обнаружил, что злоумышленники могут использовать устаревшие компоненты ядра Windows для обхода ключевых защит, таких как Driver Signature Enforcement, что позволяет внедрять руткиты даже на полностью обновленных системах. Данный метод атаки стал возможен за счет перехвата процесса Windows Update, что дает возможность установить уязвимые, устаревшие компоненты на обновленную систему без изменения её статуса.

Левиев также разработал инструмент Windows Downdate, который позволяет создать настраиваемый откат и делает «полностью обновленную» систему восприимчивой к уже исправленным недостаткам. Левиев заявил, что смог сделать так, чтобы ранее устраненные уязвимости снова становились актуальными, что фактически обесценивает понятие «полностью обновленной» Windows. Такой способ получил название Downgrade-атака .

Используя такой подход, исследователь выявил новую уязвимость CVE-2024-21302 (оценка CVSS: 6.7), которая позволяет повысить привилегии на устройствах с Windows, включая виртуальные машины и другие функции. Microsoft быстро исправила уязвимость, так как она пересекала так называемую «границу безопасности». Однако сам метод захвата обновлений остался без изменений, так как он не считается прямым нарушением безопасности.

Несмотря на исправление, ошибка по-прежнему представляет опасность, поскольку, захватив процесс обновления, злоумышленник может восстанавливать старые проблемы в системе. Одной из целей атак является функция Driver Signature Enforcement (DSE), которая обычно не допускает запуск неподписанных драйверов. Восстановив уязвимость в DSE, хакер может загружать в систему вредоносные драйверы и скрывать свои действия, обходя защитные механизмы Windows.

Исследователь также показал, что другие защитные функции Windows, такие как Virtualization-Based Security ( VBS ), можно обойти, изменяя ключи в реестре. Если VBS не настроена на максимальную безопасность, ключевые файлы, такие как SecureKernel.exe, могут быть заменены на уязвимые версии, что позволяет обходить защиту и манипулировать компонентами системы. При этом у Microsoft есть методы защиты на уровне UEFI, но их включение требует дополнительной настройки. Полная защита доступна только при активации VBS с обязательной блокировкой UEFI.

Microsoft, в свою очередь, заявила, что разрабатывает обновление для устранения данных уязвимостей, а также создаёт механизмы, блокирующие устаревшие системные файлы VBS. Однако точные сроки выпуска исправлений не уточняются, поскольку требуется тщательное тестирование для предотвращения сбоев и несовместимостей.

В настоящее время компания призывает службы безопасности быть бдительными и отслеживать возможные атаки на откат версий, поскольку они представляют серьезную угрозу для организаций.