Bypass de assinatura de driver no Windows
- Atacantes podem fazer downgrade de componentes do kernel do Windows para contornar recursos de segurança como a imposição de assinatura de driver e instalar rootkits em sistemas totalmente corrigidos.
- Ao controlar o processo de atualização do Windows, é possível introduzir componentes de software antigos e vulneráveis em sistemas atualizados.
Downgrade no Windows
- O pesquisador de segurança Alon Leviev, da SafeBreach, relatou um problema de argumentos de atualização, mas a Microsoft o ignorou por considerar que ele não ultrapassa um limite de segurança.
- Leviev demonstrou em conferências de segurança como BlackHat e DEFCON que o ataque é viável, e o problema continua sem solução.
- O pesquisador lançou uma ferramenta chamada Windows Downdate, capaz de criar downgrades personalizados e reexpor vulnerabilidades já corrigidas por meio de componentes antigos.
- Leviev mostrou que é possível contornar o recurso Driver Signature Enforcement (DSE), carregar drivers de kernel não assinados e implantar malware do tipo rootkit que desativa controles de segurança.
Alvo: kernel
- Leviev explicou como é possível abusar do processo de atualização do Windows para contornar as proteções do DSE.
- Ao substituir o arquivo
ci.dll por uma versão sem correção, é possível ignorar a assinatura de drivers e burlar as verificações de proteção do Windows.
- Essa substituição é acionada pelo Windows Update e explora uma condição de leitura dupla em que o Windows valida a cópia mais recente enquanto uma cópia vulnerável de
ci.dll é carregada na memória.
- Ele também descreveu formas de desativar ou contornar o VBS (segurança baseada em virtualização).
Resumo do GN⁺
- O artigo explica como vulnerabilidades de segurança em sistemas Windows podem ser exploradas para contornar a imposição de assinatura de drivers e instalar rootkits.
- Esses ataques se tornam possíveis ao abusar do processo de atualização do Windows para fazer downgrade de componentes já corrigidos.
- Isso reforça a necessidade de ferramentas de segurança monitorarem de perto procedimentos de downgrade, mesmo quando não parecerem cruzar limites críticos de segurança.
- Como alternativa com capacidade semelhante, também são recomendadas soluções de EDR (Endpoint Detection and Response).
1 comentários
Comentários do Hacker News
A MS afirma que o UAC não é um limite de segurança. Diz que a imposição de assinatura de drivers é um recurso de segurança, mas argumenta que, neste caso, isso não ultrapassa um limite de segurança
Opinião de um usuário que sente faltar um modelo conceitual para explicar por que o Windows é vulnerável a invasões
Um usuário com privilégios de administrador pode executar ações arbitrárias no computador. Um usuário se pergunta se há alguma diferença sutil que aumente a gravidade deste ataque
Opinião de que é difícil acreditar que a Microsoft conteste isso apesar de haver uma demonstração. A conta do Vimeo tem várias outras descobertas de segurança
Com execução de código no kernel com privilégios de administrador, o usuário root pode instalar um rootkit. O pesquisador apresentou uma ferramenta chamada Windows Downdate
Opinião de que, no Windows e no Linux, uma conta local com privilégios comuns é na prática equivalente a root. Comentários sobre a diferença entre UAC e sudo. Opinião de que seria melhor remover ambos na configuração padrão
O kernel impõe regras de compartilhamento de arquivos, mas não verifica permissões conflitantes para mapeamento de memória. O Linux removeu o bloqueio obrigatório
O ataque parece suspeitamente simples. Ele engana o processo de atualização para instalar versões antigas de componentes vulneráveis do kernel. Opinião de que a MS provavelmente já havia considerado esse problema
Um usuário relembra as dificuldades de quando a Microsoft passou a exigir assinatura de drivers. Elogios a Alon Leviev e à SafeBreach por descobrirem essa vulnerabilidade
É possível modificar o Windows 11 para torná-lo um sistema operacional melhor, mas a opinião é que o foco deve ficar nos rootkits