-
09/04/2020
-
93
-
600 bài viết
Phát hiện lỗ hổng hạ cấp hệ điều hành nhắm vào kernel Microsoft Windows
Các nhà nghiên cứu vừa phát hiện một kỹ thuật tấn công mới có khả năng vượt qua cơ chế Driver Signature Enforcement (DSE) của Microsoft trên các hệ thống Windows đã được cập nhật đầy đủ, dẫn đến các cuộc tấn công hạ cấp (downgrade) hệ điều hành.
Kỹ thuật này cho phép tải các trình điều khiển kernel chưa được ký số, khiến kẻ tấn công triển khai các rootkit tùy chỉnh nhằm vô hiệu hóa các biện pháp bảo mật, ẩn giấu tiến trình và hoạt động mạng, và duy trì trạng thái ẩn danh.
Phát hiện này dựa trên một phân tích trước đó về hai lỗ hổng leo thang đặc quyền trong quy trình cập nhật của Windows là CVE-2024-21302 và CVE-2024-38202, cho phép kẻ tấn công hạ cấp phiên bản hệ điều hành về phiên bản cũ hơn chứa các lỗ hổng chưa được vá.
Lỗ hổng này xuất hiện dưới dạng một công cụ có tên là Windows Downdate, được sử dụng để chiếm quyền điều khiển quy trình Windows Update nhằm thực hiện các cuộc tấn công hạ cấp đối với các thành phần quan trọng của hệ điều hành. Các cuộc tấn công này khó có thể phát hiện, liên tục và không thể đảo ngược, khiến hệ điều hành quay trở lại các phiên bản cũ.
Ngoài ra, công cụ Windows Downdate mở ra một phương thức tấn công hiệu quả hơn so với kỹ thuật Bring Your Own Vulnerable Driver (BYOVD), cho phép kẻ tấn công hạ cấp các thành phần cốt lõi của hệ điều hành như kernel hệ thống.
Microsoft đã giải quyết CVE-2024-21302 và CVE-2024-38202 vào ngày 13 tháng 8 và ngày 8 tháng 10 năm 2024 trong bản cập nhật Patch Tuesday.
Kỹ thuật này cho phép tải các trình điều khiển kernel chưa được ký số, khiến kẻ tấn công triển khai các rootkit tùy chỉnh nhằm vô hiệu hóa các biện pháp bảo mật, ẩn giấu tiến trình và hoạt động mạng, và duy trì trạng thái ẩn danh.
Phát hiện này dựa trên một phân tích trước đó về hai lỗ hổng leo thang đặc quyền trong quy trình cập nhật của Windows là CVE-2024-21302 và CVE-2024-38202, cho phép kẻ tấn công hạ cấp phiên bản hệ điều hành về phiên bản cũ hơn chứa các lỗ hổng chưa được vá.
Lỗ hổng này xuất hiện dưới dạng một công cụ có tên là Windows Downdate, được sử dụng để chiếm quyền điều khiển quy trình Windows Update nhằm thực hiện các cuộc tấn công hạ cấp đối với các thành phần quan trọng của hệ điều hành. Các cuộc tấn công này khó có thể phát hiện, liên tục và không thể đảo ngược, khiến hệ điều hành quay trở lại các phiên bản cũ.
Ngoài ra, công cụ Windows Downdate mở ra một phương thức tấn công hiệu quả hơn so với kỹ thuật Bring Your Own Vulnerable Driver (BYOVD), cho phép kẻ tấn công hạ cấp các thành phần cốt lõi của hệ điều hành như kernel hệ thống.
Microsoft đã giải quyết CVE-2024-21302 và CVE-2024-38202 vào ngày 13 tháng 8 và ngày 8 tháng 10 năm 2024 trong bản cập nhật Patch Tuesday.
Theo The Hacker News