هنوز حملات Downdate ویندوز، بعد از گذشت چند ماه ویندوزها را به نسخه های آسیب پذیر بازگردانی می کند!
در سیستم ها با ویندوز 11 امکان حملات downgrade وجود دارد و مهاجم می تواند از فرآیند به روز رسانی ویندوز برای بای پس یک پچ DSE سوءاستفاده کند.
ویندوزهای 11 کامل پج شده، در برابر حملاتی که به مهاجم اجازه نصب روت کیت های سفارشی برای غیرفعال کردن مکانیسم های امنیتی اندپوینتها را میدهد، آسیب پذیر هستند. همچنین این مهاجمان می توانند فرایندهای مخرب و فعالیت شبکه را پنهان کرده، این مخفی سازی را در سیستم آسیب پذیر حفظ نمایند.
این حمله شامل یک تکنیک حمله Downgrade سیستم عامل ویندوز است و با بررسی محققین امنیتی چگونگی دسترسی مهاجم به مجوزهای سطح ادمین و دستکاری windows update و بازگردانی ماژولهای آپدیت شده ویندوز به حالت آسیب پذیری قبلی مشخص شد.
حملات downgrade سیستم عامل ویندوز
این محقق امنیتی در آزمایشات خود در ماه آگوست نشان داد که چگونه حمله حتی در شرایطی، ممکن است یک سازمان با امنیت مبتنی بر مجازی سازی را نیز به خطر اندازد. در یک حمله دمو نشان داده شد که مهاجم می تواند ویژگی ها و قابلیت های امنیت مبتنی بر مجازی سازی را کاهش داد و آسیب پذیری های مرتبط با ارتقا سطح دسترسی که قبلا رفع شده بود را دوباره فعال کرد.
از آن زمان مایکروسافت دو آسیب پذیری CVE-2024-21302 و CVE-2024-38202 را که این محقق امنیتی به آنها گزارش داد رفع نموده است. با این حال مایکروسافت تاکنون برای این سوءاستفاده ها راهکاری ارائه نکرده است.
این موضوع به عدم توجه مایکروسافت به توانایی یک کاربر در سطح مدیریت برای رسیدن به اجرای کد کرنل به عنوان یک مرز امنیتی مرتبط است. به گفته محقق امنیتی مایکروسافت هر آسیب پذیری ناشی از عبور از مرزهای امنیتی مشخص را برطرف کرده است اما برای این کار در سطح مدیر محدودیتی در نظر گرفته نشده است.
به منظور نشان دادن اینکه همچنان تهدید وجود دارد این محقق 26 اکتبر جزییات جدیدی از این حمله منتشر کرد و با استفاده از ابزار خود نشان داد که این حمله بای پس DSE حتی با وصله CVE-2024-21302 امکان پذیر است. همچنین نشان داد که چطور یک مهاجم می تواند از این مشکل امنیتی سوءاستفاده کرده و درایورهای کرنل بدون امضا را بارگذاری و روت کیت ها را نصب کند.
محقق دیگری از Securonix می گوید از آنجایی که ویندوز همیشه نسخه های DLL خود را هنگام بارگذاری تایید اعتبار نمی کند این امکان وجود دارد که مهاجم بتواند سیستم عامل را فریب داده که از فایل های قدیمی آسیب پذیر استفاده کند. چنانچه مهاجم بتواند ویندوز دیفندر را دان گرید نماید (مخصوصا در مورد به روز رسانی های امنیتی) می تواند فایل های مخرب یا تاکتیک هایی را که به طور معمول شناسایی می شوند را نیز اجرا کند.
مایکروسافت در حال کار بر روی رفع این مشکل
طبق گفته سخنگوی شرکت مایکروسافت، مایکروسافت به طور مستمر در حال توسعه اقدمات کافی برای محافظت در برابر این خطرات است. در ادامه می گوید که در حال توسعه یک به روزرسانی امنیتی هستیم که فایل های سیستم VBS منسوخ و وصله نشده را برای کاهش این تهدیدات حذف کند که به دلیل پیچیدکی این کار نیاز به تست های دقیقی است.
همچنین مایکروسافت به روز رسانی اطلاعات در مورد آسیب پذیری CVE-2024-21302 را ادامه خواهد داد.
منبع:
