駭客降低 Windows 核心等級以創建 Rootkit 並危害計算機
駭客正在使用降級 Windows 核心元件的技術,試圖繞過驅動程式簽章強制等重要安全功能。透過這種方式,他們可以在完全更新的系統上部署 Rootkit,從而威脅 Windows 電腦上的資訊安全,而很少用戶意識到這一點。
SafeBreach 的安全研究員 Alon Leviev 發現了一個允許 Windows 上的更新劫持的漏洞。儘管微軟聲稱該問題並未跨越既定的安全邊界,但現實仍然表明存在駭客入侵的可能性。
Leviev 創建了 Windows Downdate 工具來在 Windows 系統上建立自訂降級,透過 DLL、驅動程式和 NT 核心等元件暴露發現的漏洞。這使得已修復的漏洞容易受到攻擊,表明核心的安全仍然面臨風險。
這些攻擊可以繞過驅動程式簽章強制 (DSE),從而暴露上傳未簽署的核心驅動程式和部署 rootkit 的能力。這不僅會停用安全措施,還會隱藏攻擊者活動,因此難以偵測到入侵。
透過更新流程降級Windows核心元件,駭客可以利用DSE漏洞並有效部署rootkit惡意軟體。這為完全更新的 Windows 系統帶來意外攻擊開闢了潛在途徑。
駭客現在可以降級 Windows 核心元件以嘗試繞過功能 安全 與駕駛員簽名執行同樣重要。透過這種技術,他們可以部署 根工具包 在完全更新的系統上。這意味著Windows電腦的安全風險是極少數使用者能夠意識到的潛在巨大危險。
具體來說,這些攻擊可以透過控制 Windows 更新過程來發生。駭客可以將包含作業系統已修復的漏洞的舊軟體元件引入更新的電腦中,而無需更改作業系統的更新狀態。這在現代系統中造成了嚴重的安全漏洞,用戶相信他們擁有最好的保護。
降級Windows
SafeBreach 的安全研究員 Alon Leviev 報告了這個關鍵問題,並幫助發現了更新劫持漏洞。儘管微軟聲稱該問題並未跨越定義的安全邊界,從而消除了這些擔憂,但實踐仍然是,只需一名攻擊者能夠以管理權限執行核心程式碼即可使入侵成為可能。
在今年的 BlackHat 和 DEFCON 安全會議上,Leviev 證明了這種攻擊是可行的,而且更為嚴重,但尚未完全修復,這為進一步降級或再次遭受意外挫折打開了大門。 Leviev 借助名為 Windows Downdate 的工具,允許使用者建立自訂降級,從而暴露看似已完全更新但實際上容易受到先前透過 DLL、驅動程式和 NT 核心等遺留元件發現的漏洞的目標系統。
「我能夠讓一台完全打過補丁的Windows 計算機容易受到過去漏洞的影響,使已打補丁的漏洞不打補丁,並使’完全打過補丁’、’打補丁’這個詞在世界上任何Windows計算機上幾乎毫無意義,」Leviev 說。
儘管近年來核心安全性有了顯著提高,但 Leviev 仍然能夠繞過驅動程式簽章強制 (DSE) 功能,這表明攻擊者可以上傳 核心驅動程式 沒有簽名,從而部署 Rootkit 惡意軟體。這不僅會停用安全措施,還會隱藏可能導致偵測到系統入侵的攻擊者活動。
「近年來,核心安全性有了重大改進。然而,即使假設它可能會受到管理權限的影響,也總是會存在讓攻擊者變得更簡單的漏洞」——Leviev 強調。
Leviev 將他的漏洞標記為「ItsNotASecurityBoundary」DSE 繞過,因為它依賴不可變檔案篡改漏洞。這是 Windows 中的一類新漏洞,Elastic 的 Gabriel Landau 將其描述為利用核心權限實作任意程式碼執行的方法。 Landau報告此漏洞後,微軟迅速修補了「ItsNotASecurityBoundary」漏洞,以防止管理員權限升級到核心。然而,萊維耶夫指出,修補此漏洞仍無法完全防範降級攻擊。
以核心為目標
Leviev 今天發布的新研究顯示了攻擊者如何利用 Windows 更新程序繞過 DSE 保護。這可以透過降級已修補的元件來完成,即使在完全更新的 Windows 11 系統上也是如此。由於將負責執行 DSE 的“ci.dll”檔案替換為忽略所有驅動程式簽署的未修補版本,因此可以進行攻擊。這種技術本質上有效地破壞了 Windows 的保護檢查。
此替換過程在 Windows 更新過程中觸發。這一切都是透過利用雙重讀取條件來實現的,即在 Windows 開始檢查最新版本的 ci.dll 後,易受攻擊的 ci.dll 副本會立即載入到記憶體中。
這種所謂的「競爭視窗」事件允許在 Windows 仍然認為它已驗證檔案時載入易受攻擊的 ci.dll,從而允許將未簽署的驅動程式上傳到核心。這不僅顯示了Windows更新過程中的漏洞,也為攻擊者部署惡意程式碼開闢了潛在路徑。
在下面的影片中,Leviev 示範如何透過降級攻擊來恢復 DSE 補丁,並在執行 Windows 11 23H2 的完全打補丁的電腦上利用該元件。他也毫不猶豫地描述了停用或繞過 Microsoft 基於虛擬化的安全性 (VBS) 的方法。此功能可為 Windows 建立一個隔離環境,以保護重要的資源和安全資產,例如安全核心程式碼完整性機制 (skci.dll) 和經過驗證的已建立的使用者憑證。
文章目錄
Source link
探索更多來自 Gizmo Review 的內容
訂閱後即可透過電子郵件收到最新文章。
