Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети» » Новости мира Интернет
«Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни - «Новости сети»
«Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни - «Новости сети»
«Хуже моего самого страшного кошмара»: утечка геймплея с тестирования новой The Sims ужаснула фанатов - «Новости сети»
«Хуже моего самого страшного кошмара»: утечка геймплея с тестирования новой The Sims ужаснула фанатов - «Новости сети»
Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет - «Новости сети»
Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет - «Новости сети»
Amazon включилась в борьбу за американский бизнес TikTok - «Новости сети»
Amazon включилась в борьбу за американский бизнес TikTok - «Новости сети»
«Яндекс» представил «Нейроэксперта» — ИИ, который соберёт базу знаний по ссылкам и файлам пользователя - «Новости сети»
«Яндекс» представил «Нейроэксперта» — ИИ, который соберёт базу знаний по ссылкам и файлам пользователя - «Новости сети»
ZA/UM отреагировала на утечку «одиночной кооперативной игры» Locust City во вселенной Disco Elysium - «Новости сети»
ZA/UM отреагировала на утечку «одиночной кооперативной игры» Locust City во вселенной Disco Elysium - «Новости сети»
GTA V вернётся в Game Pass, причём совсем скоро — впервые игра будет доступна в PC Game Pass - «Новости сети»
GTA V вернётся в Game Pass, причём совсем скоро — впервые игра будет доступна в PC Game Pass - «Новости сети»
Обзор системы резервного копирования и восстановления данных «Кибер Бэкап Малый Бизнес» - «Новости сети»
Обзор системы резервного копирования и восстановления данных «Кибер Бэкап Малый Бизнес» - «Новости сети»
Nintendo создала гибридный эмулятор Switch, но работать он будет только на Switch 2 - «Новости сети»
Nintendo создала гибридный эмулятор Switch, но работать он будет только на Switch 2 - «Новости сети»
Лавкрафтианский хоррор Stygian: Outer Gods готовится к старту открытой «беты» — новый геймплейный трейлер - «Новости сети»
Лавкрафтианский хоррор Stygian: Outer Gods готовится к старту открытой «беты» — новый геймплейный трейлер - «Новости сети»
Новости мира Интернет » Новости » Новости мира Интернет » Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»

С целью обхода функций безопасности Windows, в частности, Driver Signature Enforcement, злоумышленники могут понижать версии компонентов ядра системы и развёртывать в ней руткиты. Хакеры способны брать под контроль механизм обновления Windows, чтобы внедрять на обновлённую машину устаревшие и уязвимые программные компоненты — при этом система формально сохраняет статус актуальной.



Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»


Источник изображения: Ricardo Resende / unsplash.com



О проблеме сообщил эксперт компании SafeBreach Алон Левиев (Alon Leviev), но в Microsoft её отвергли, заявив, что она не превышает заданного уровня угроз, потому что позволяет запускать код в ядре только с привилегиями администратора. Исследователь разработал и опубликовал инструмент Windows Downdate, который позволяет произвольно понижать версии компонентов и повторно открывать на, казалось бы, полностью обновлённой ОС уже известные уязвимости. Ему удалось обойти защиту функции Driver Signature Enforcement (DSE) — так гипотетический злоумышленник может загрузить неподписанные драйверы и развернуть руткит, который отключит средства управления безопасностью. При этом действия хакера останутся незамеченными.


Изучая механизм вредоносного отката версий компонентов, Левиев открыл уязвимость, которой был присвоен номер CVE-2024-21302. Она позволяет повышать привилегии пользователя, и Microsoft её закрыла. Но уязвимость Windows Update остаётся актуальной. Атака, как продемонстрировал исследователь, производится путём подмены файла ci.dll, ответственного за обеспечение работы DSE, на более старую версию, которая не требует наличия подписи у драйверов и позволяет им обходить средства защиты — уязвимая копия библиотеки загружается в память сразу после того, как Windows начинает проверку её последней копии. В результате система «думает», что проверила файл, и позволяет загружать в ядро неподписанные драйверы.


Эксперт описал метод отключения или обхода средства Microsoft Virtualization-based Security (VBS), которое создаёт в Windows изолированную среду для защиты важных ресурсов. Обычно для этого блокируются UEFI и изменения конфигурации реестра, но её можно отключить, если у неё не установлены максимальные настройки безопасности — для этого необходимо изменить в реестре один из ключей. При частичном отключении некоторые файлы VBS могут заменяться уязвимыми версиями, открывая путь к вмешательству в работу средств Windows Update. Господин Левиев указывает, что необходимо осуществлять тщательный мониторинг процедур понижения версии, даже если эти процедуры не превышают заданных уровней угроз.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

С целью обхода функций безопасности Windows, в частности, Driver Signature Enforcement, злоумышленники могут понижать версии компонентов ядра системы и развёртывать в ней руткиты. Хакеры способны брать под контроль механизм обновления Windows, чтобы внедрять на обновлённую машину устаревшие и уязвимые программные компоненты — при этом система формально сохраняет статус актуальной. Источник изображения: Ricardo Resende / unsplash.com О проблеме сообщил эксперт компании SafeBreach Алон Левиев (Alon Leviev), но в Microsoft её отвергли, заявив, что она не превышает заданного уровня угроз, потому что позволяет запускать код в ядре только с привилегиями администратора. Исследователь разработал и опубликовал инструмент Windows Downdate, который позволяет произвольно понижать версии компонентов и повторно открывать на, казалось бы, полностью обновлённой ОС уже известные уязвимости. Ему удалось обойти защиту функции Driver Signature Enforcement (DSE) — так гипотетический злоумышленник может загрузить неподписанные драйверы и развернуть руткит, который отключит средства управления безопасностью. При этом действия хакера останутся незамеченными. Изучая механизм вредоносного отката версий компонентов, Левиев открыл уязвимость, которой был присвоен номер CVE-2024-21302. Она позволяет повышать привилегии пользователя, и Microsoft её закрыла. Но уязвимость Windows Update остаётся актуальной. Атака, как продемонстрировал исследователь, производится путём подмены файла ci.dll, ответственного за обеспечение работы DSE, на более старую версию, которая не требует наличия подписи у драйверов и позволяет им обходить средства защиты — уязвимая копия библиотеки загружается в память сразу после того, как Windows начинает проверку её последней копии. В результате система «думает», что проверила файл, и позволяет загружать в ядро неподписанные драйверы. Эксперт описал метод отключения или обхода средства Microsoft Virtualization-based Security (VBS), которое создаёт в Windows изолированную среду для защиты важных ресурсов. Обычно для этого блокируются UEFI и изменения конфигурации реестра, но её можно отключить, если у неё не установлены максимальные настройки безопасности — для этого необходимо изменить в реестре один из ключей. При частичном отключении некоторые файлы VBS могут заменяться уязвимыми версиями, открывая путь к вмешательству в работу средств Windows Update. Господин Левиев указывает, что необходимо осуществлять тщательный мониторинг процедур понижения версии, даже если эти процедуры не превышают заданных уровней угроз.

0

Смотрите также

А что там на главной? )))



Комментарии )))