การ Bypass Windows Driver Signature แบบใหม่ ช่วยให้สามารถติดตั้ง Kernel Rootkit ได้

ผู้โจมตีสามารถทำการดาวน์เกรดคอมโพแนนต์ของ Kernel Windows เพื่อ bypass คุณสมบัติการรักษาความปลอดภัยเช่น Driver Signature Enforcement และติดตั้ง Rootkit บนระบบที่ได้รับการแพตช์ในเวอร์ชันล่าสุดแล้วได้

วิธีการนี้สามารถทำได้โดยการควบคุมกระบวนการอัปเดตของ Windows เพื่อแทรกซอฟต์แวร์คอมโพแนนต์เก่า ๆ ที่มีช่องโหว่บนเครื่องที่ได้รับการอัปเดตโดยไม่เปลี่ยนสถานะการแพตช์ที่สมบูรณ์ของระบบปฏิบัติการ

Downgrading Windows

Alon Leviev นักวิจัยด้านความปลอดภัยจาก SafeBreach รายงานปัญหาการควบคุมการอัปเดตนี้ แต่ Microsoft ปฏิเสธโดยระบุว่าเหตุการณ์นี้ไม่ได้กระทบกับขอบเขตการรักษาความปลอดภัยที่กำหนดไว้ แม้ว่าจะสามารถทำให้ได้รับสิทธิ์การรันโค้ดใน kernel ในฐานะผู้ดูแลระบบได้

Leviev ได้แสดงให้เห็นถึงการโจมตีที่สามารถทำได้ในงาน BlackHat และ DEFCON ในปีนี้ แสดงให้เห็นว่าช่องทางการโจมตีผ่านการดาวน์เกรด หรือย้อนกลับเวอร์ชันยังคงสามารถทำได้อยู่

นักวิจัยยังได้เผยแพร่เครื่องมือที่ชื่อ Windows Downdate ซึ่งช่วยสร้างการดาวน์เกรดที่กำหนดเอง และเปิดเผยช่องโหว่ที่ได้รับการแก้ไขไปแล้วกับระบบที่อัปเดตแล้ว ผ่านคอมโพแนนต์ที่ล้าสมัย เช่น DLLs, drivers และ NT Kernel

แม้ว่าความปลอดภัยของ Kernel จะได้รับการปรับปรุงอย่างต่อเนื่องในช่วงหลายปีที่ผ่านมา แต่ Leviev สามารถ bypass Driver Signature Enforcement (DSE) ได้ ซึ่งแสดงให้เห็นว่า ผู้โจมตีสามารถโหลด Kernel Driver ที่ไม่มี license เพื่อติดตั้งมัลแวร์ Rootkit ที่ปิดการควบคุมความปลอดภัย และซ่อนพฤติกรรมที่อาจทำให้ตรวจพบการโจมตีได้

นักวิจัยระบุเพิ่มเติมว่า "ในขณะที่การป้องกันใหม่ทำให้การโจมตี kernel ยากขึ้น ความสามารถในการดาวน์เกรดคอมโพแนนต์ที่อยู่ใน kernel ทำให้เป็นเรื่องง่ายขึ้นมากสำหรับผู้โจมตี"

Leviev เรียกวิธีการของเขาว่า "ItsNotASecurityBoundary" ซึ่งเป็นการ bypass DSE เพราะเป็นการดาวน์เกรดของช่องโหว่ ItsNotASecurityBoundary ที่ใช้ประโยชน์จากช่องโหว่ของ false file immutablity ซึ่งเป็นช่องโหว่ใหม่ใน Windows ที่ถูกพบโดย Gabriel Landau จาก Elastic เพื่อให้เกิดการเรียกใช้โค้ดด้วยสิทธิ์ของ kernel

การโจมตีที่ Kernel

ในงานวิจัยใหม่ที่เผยแพร่ในวันนี้ Leviev แสดงให้เห็นว่าผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบบนเครื่องเป้าหมาย สามารถใช้กระบวนการอัปเดตของ Windows เพื่อ bypass การป้องกัน DSE ได้ โดยการดาวน์เกรดในส่วนที่แพตช์แล้ว แม้ในระบบ Windows 11 ที่ได้รับการอัปเดตเต็มรูปแบบแล้วก็ตาม

การโจมตีสามารถทำได้โดยการแทนที่ไฟล์ ‘ci.dll’ ซึ่งเป็นไฟล์ที่ใช้ในการบังคับใช้ DSE ด้วยเวอร์ชันที่ยังไม่ได้รับการแพตช์ซึ่งไม่สนใจ license ของ Driver ซึ่งโดยพื้นฐานแล้วเป็นการ bypass การตรวจสอบการป้องกันของ Windows

เมื่อดาวน์เกรดคอมโพเนนต์เป็นเวอร์ชันที่มีช่องโหว่แล้ว เครื่องจะต้องรีสตาร์ท เช่นเดียวกับกระบวนการอัปเดตที่ถูกต้อง

ในวิดีโอด้านล่าง นักวิจัยสาธิตให้เห็นถึงวิธีการที่เขาคืนค่าแพตช์ DSE ผ่านการโจมตีแบบดาวน์เกรด และใช้ประโยชน์จากคอมโพแนนต์บนเครื่อง Windows 11 23H2 ที่ติดตั้งแพตช์เต็มรูปแบบแล้ว

Leviev ยังอธิบายวิธีการปิด หรือ bypass การรักษาความปลอดภัยแบบ Virtualization-based Security (VBS) ของ Microsoft ซึ่งสร้างสภาพแวดล้อมแยกต่างหากสำหรับ Windows เพื่อปกป้องทรัพยากรที่สำคัญ และทรัพย์สินด้านความปลอดภัย เช่น กลไกการรักษาความสมบูรณ์ของโค้ด kernel ที่ปลอดภัย (skci.dll) และข้อมูล credentials ของผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์

โดยทั่วไป VBS จะพึ่งพาการป้องกัน เช่น การล็อก UEFI และการกำหนดค่า registry เพื่อป้องกันการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต แต่สามารถถูกปิดได้หากไม่ได้ตั้งค่าให้มีความปลอดภัยสูงสุด (เช่นการตั้งค่าเป็น “Mandatory”) โดยการปรับแก้คีย์ registry เฉพาะ

เมื่อเปิดใช้งานบางส่วน ไฟล์ VBS ที่สำคัญเช่น ‘SecureKernel.exe’ สามารถถูกแทนที่ด้วยเวอร์ชันที่ไม่สามารถทำงานได้ ซึ่งจะทำให้การทำงานของ VBS ขัดข้อง และเปิดช่องทางให้กับการ bypass การป้องกัน “ItsNotASecurityBoundary” และการแทนที่ ‘ci.dll’

วิธีการของ Leviev แสดงให้เห็นว่าการโจมตีด้วยการดาวน์เกรดยังคงสามารถทำได้ผ่านหลายช่องทาง แม้ว่าบางครั้งจะมีข้อกำหนดสิทธิ์ที่เข้มงวดก็ตาม

การแก้ไขปัญหากำลังเริ่มขึ้น

การที่ช่องโหว่ที่ถูกใช้ในการโจมตีด้วยการดาวน์เกรดถูกโชว์ในงาน BlackHat และ DEFCON (เช่น CVE-2024-21302 และ CVE-2024-38202) ทำให้ Microsoft ต้องดำเนินการแก้ไขปัญหาการ takeover กระบวนการอัปเดตของ Windows

Leviev ระบุว่า "การ takeover กระบวนการอัปเดตของ Windows ซึ่งถูกรายงานไปยัง Microsoft ทราบเช่นกัน ยังคงไม่ได้รับการแพตช์ เนื่องจากไม่ได้ bypass ขอบเขตความปลอดภัยที่กำหนด การได้รับสิทธิ์การเรียกใช้โค้ด kernel ในฐานะผู้ดูแลระบบนั้นไม่ได้ถือว่าเป็นการ bypass ขอบเขตความปลอดภัย (ไม่ใช่ช่องโหว่)"

จนกว่า Microsoft จะทำการแก้ไขปัญหา นักวิจัยได้แสดงให้เห็นว่าควรมีการตรวจสอบ และตรวจจับการโจมตีด้วยการดาวน์เกรด เนื่องจากยังคงเป็นภัยคุกคามที่สำคัญต่อองค์กร

โฆษกของ Microsoft ให้ข้อมูลกับ BleepingComputer ว่า บริษัทกำลัง "พัฒนามาตรการป้องกันอย่างต่อเนื่องเพื่อป้องกันความเสี่ยงเหล่านี้"

อย่างไรก็ตาม กระบวนการดังกล่าวต้อง "ผ่านการตรวจสอบอย่างละเอียด การพัฒนาอัปเดตสำหรับเวอร์ชันที่ได้รับผลกระทบทั้งหมด และการทดสอบความเข้ากันได้ เพื่อให้มั่นใจว่าลูกค้าได้รับการป้องกัน และลดการรบกวนการใช้งาน"

บริษัทกำลังพัฒนาการอัปเดตความปลอดภัยที่ช่วยลดปัญหาโดยการเพิกถอนไฟล์ระบบ VBS ที่ล้าสมัย และไม่ได้รับการแพตช์ ยังไม่ชัดเจนว่าอัปเดตนี้จะพร้อมใช้งานเมื่อใด เนื่องจากปัญหานี้มีความซับซ้อน และต้องการการทดสอบอย่างรอบคอบเพื่อหลีกเลี่ยงความเสี่ยงด้านการทำงานของระบบ

ที่มา : www.bleepingcomputer.com