28.10.2024
1 хв
832
Дослідники з кібербезпеки виявили нову методику пониження версії ОС Windows, яка дозволяє обходити систему перевірки підпису драйверів (DSE) на повністю оновлених системах. Ця вразливість дає змогу зловмисникам використовувати непідписані драйвери для встановлення руткітів і подальшого приховування шкідливої діяльності.
Метод пониження версії, розроблений дослідником SafeBreach Алоном Левієвим, використовує спеціальний інструмент Windows Downdate для взлому процесу оновлення Windows і відкату критичних компонентів ОС до старих версій, що містять вразливості. Наприклад, за допомогою пониження версії можна відновити вразливість «ItsNotASecurityBoundary», яка дає можливість обходити перевірку драйверів на підпис, дозволяючи зловмисникам завантажувати непідписані драйвери на рівні ядра. Це надає можливість обійти основні механізми захисту системи, приховувати процеси, мережеву активність та підтримувати постійну приховану присутність у системі.
Downgrade-атаки або атаки пониження версій, спрямовані на повернення програмного забезпечення до попередніх, незахищених версій для відновлення раніше виправлених вразливостей. Раніше уразливість Windows Downdate, що дозволяє виконувати такі атаки, вже використовувалася, зокрема, для обходу Secure Boot у випадку з BlackLotus UEFI Bootkit, який націлився на Windows Boot Manager для отримання доступу на низькому рівні. Уразливість дозволяє зловмисникам уникати обмежень Virtualization-Based Security (VBS), яка звичайно захищає системні файли від змін, навіть якщо увімкнено UEFI Lock.
