Phát hiện lỗ hổng hạ cấp hệ điều hành nhắm vào kernel Microsoft Windows

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Phát hiện lỗ hổng hạ cấp hệ điều hành nhắm vào kernel Microsoft Windows
Các nhà nghiên cứu vừa phát hiện một kỹ thuật tấn công mới có khả năng vượt qua cơ chế Driver Signature Enforcement (DSE) của Microsoft trên các hệ thống Windows đã được cập nhật đầy đủ, dẫn đến các cuộc tấn công hạ cấp (downgrade) hệ điều hành.

1730187502060.png

Kỹ thuật này cho phép tải các trình điều khiển kernel chưa được ký số, khiến kẻ tấn công triển khai các rootkit tùy chỉnh nhằm vô hiệu hóa các biện pháp bảo mật, ẩn giấu tiến trình và hoạt động mạng, và duy trì trạng thái ẩn danh.

Phát hiện này dựa trên một phân tích trước đó về hai lỗ hổng leo thang đặc quyền trong quy trình cập nhật của Windows là CVE-2024-21302CVE-2024-38202, cho phép kẻ tấn công hạ cấp phiên bản hệ điều hành về phiên bản cũ hơn chứa các lỗ hổng chưa được vá.

Lỗ hổng này xuất hiện dưới dạng một công cụ có tên là Windows Downdate, được sử dụng để chiếm quyền điều khiển quy trình Windows Update nhằm thực hiện các cuộc tấn công hạ cấp đối với các thành phần quan trọng của hệ điều hành. Các cuộc tấn công này khó có thể phát hiện, liên tục và không thể đảo ngược, khiến hệ điều hành quay trở lại các phiên bản cũ.

Ngoài ra, công cụ Windows Downdate mở ra một phương thức tấn công hiệu quả hơn so với kỹ thuật Bring Your Own Vulnerable Driver (BYOVD), cho phép kẻ tấn công hạ cấp các thành phần cốt lõi của hệ điều hành như kernel hệ thống.

Microsoft đã giải quyết CVE-2024-21302 và CVE-2024-38202 vào ngày 13 tháng 8 và ngày 8 tháng 10 năm 2024 trong bản cập nhật Patch Tuesday.

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2024-21302 cve-2024-38202 driver signature enforcement kernel microsoft windows
Bên trên