แฮกเกอร์ลดระดับเคอร์เนลของ Windows เพื่อสร้างรูทคิทและประนีประนอมคอมพิวเตอร์
แฮกเกอร์ใช้เทคนิคในการดาวน์เกรดส่วนประกอบเคอร์เนลของ Windows เพื่อพยายามหลีกเลี่ยงคุณลักษณะด้านความปลอดภัยที่สำคัญ เช่น การบังคับใช้ลายเซ็นไดรเวอร์ ด้วยวิธีนี้ พวกเขาสามารถปรับใช้รูทคิทบนระบบที่ได้รับการอัปเดตอย่างสมบูรณ์ ซึ่งคุกคามความปลอดภัยของข้อมูลบนคอมพิวเตอร์ Windows ที่ผู้ใช้น้อยคนจะตระหนักได้
นักวิจัยด้านความปลอดภัย Alon Leviev จาก SafeBreach ค้นพบช่องโหว่ที่ทำให้สามารถจี้การอัปเดตบน Windows ได้ แม้ว่า Microsoft จะยืนยันว่าปัญหานี้ไม่ได้ข้ามขอบเขตด้านความปลอดภัยที่กำหนดไว้ แต่ความเป็นจริงยังคงแสดงให้เห็นถึงความเป็นไปได้ที่แฮกเกอร์จะบุกรุก
Leviev สร้างเครื่องมือ Windows Downdate เพื่อสร้างดาวน์เกรดแบบกำหนดเองบนระบบ Windows โดยเปิดเผยช่องโหว่ที่ค้นพบผ่านส่วนประกอบต่างๆ เช่น DLLs ไดรเวอร์ และเคอร์เนล NT สิ่งนี้ทำให้ช่องโหว่ที่แก้ไขแล้วเสี่ยงต่อการถูกโจมตี ซึ่งบ่งบอกว่าความปลอดภัยของเคอร์เนลยังคงมีความเสี่ยง
การโจมตีเหล่านี้สามารถเลี่ยงผ่านการบังคับใช้ลายเซ็นไดรเวอร์ (DSE) เผยให้เห็นความสามารถในการอัปโหลดไดรเวอร์เคอร์เนลที่ไม่ได้ลงนามและปรับใช้รูทคิท สิ่งนี้ไม่เพียงแต่ปิดการใช้งานมาตรการรักษาความปลอดภัย แต่ยังซ่อนกิจกรรมของผู้โจมตี ทำให้ยากต่อการตรวจจับการบุกรุก
ด้วยการดาวน์เกรดส่วนประกอบเคอร์เนล Windows ผ่านกระบวนการอัปเดต แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ DSE และปรับใช้มัลแวร์รูทคิตได้อย่างมีประสิทธิภาพ นี่เป็นการเปิดช่องทางที่เป็นไปได้สำหรับการโจมตีที่ไม่คาดคิดต่อระบบ Windows ที่อัปเดตอย่างสมบูรณ์
ขณะนี้แฮกเกอร์มีความสามารถในการลดระดับส่วนประกอบเคอร์เนลของ Windows โดยพยายามหลีกเลี่ยงคุณลักษณะด้านความปลอดภัยที่สำคัญ เช่น การบังคับใช้ลายเซ็นไดรเวอร์ ด้วยเทคนิคนี้ พวกเขาสามารถปรับใช้รูทคิทบนระบบที่อัพเดตเต็มรูปแบบได้ ซึ่งหมายความว่าความเสี่ยงด้านความปลอดภัยสำหรับคอมพิวเตอร์ Windows อาจเป็นอันตรายร้ายแรงที่ผู้ใช้เพียงไม่กี่คนเท่านั้นที่จะตระหนักได้
โดยเฉพาะการโจมตีเหล่านี้สามารถเกิดขึ้นได้โดยการควบคุมกระบวนการอัพเดต Windows แฮกเกอร์สามารถนำส่วนประกอบซอฟต์แวร์เก่าซึ่งมีช่องโหว่ที่ระบบปฏิบัติการได้แก้ไขไปไว้ในคอมพิวเตอร์ที่อัปเดตโดยไม่ต้องเปลี่ยนสถานะการอัปเดตของระบบปฏิบัติการ สิ่งนี้สร้างช่องว่างด้านความปลอดภัยที่ร้ายแรงในระบบสมัยใหม่ซึ่งผู้ใช้เชื่อว่าตนได้รับการปกป้องที่ดีที่สุด
ดาวน์เกรด Windows
นักวิจัยด้านความปลอดภัย Alon Leviev จาก SafeBreach รายงานเกี่ยวกับปัญหาที่สำคัญนี้และช่วยค้นพบช่องโหว่ในการแย่งชิงการอัปเดต แม้ว่า Microsoft จะยกเลิกข้อกังวลเหล่านี้โดยยืนยันว่าปัญหาไม่ได้ข้ามขอบเขตความปลอดภัยที่กำหนดไว้ แต่แนวปฏิบัติยังคงมีผู้โจมตีเพียงรายเดียวเท่านั้นที่ต้องสามารถดำเนินการโค้ดเคอร์เนลด้วยสิทธิ์ระดับผู้ดูแลระบบที่อาจทำให้เกิดการบุกรุกได้
ในการประชุมด้านความปลอดภัยของ BlackHat และ DEFCON ในปีนี้ Leviev แสดงให้เห็นว่าการโจมตีนี้ทำได้จริงและรุนแรงกว่า แต่ยังไม่ได้รับการแก้ไขอย่างสมบูรณ์ ซึ่งเป็นการเปิดประตูสู่การดาวน์เกรดเพิ่มเติมหรือการโจมตีซ้ำโดยไม่คาดคิด ด้วยเครื่องมือที่เรียกว่า Windows Downdate Leviev อนุญาตให้ผู้ใช้สร้างการปรับลดรุ่นแบบกำหนดเองที่เปิดเผยระบบเป้าหมายที่ดูเหมือนว่าจะได้รับการอัปเดตอย่างสมบูรณ์ แต่จริงๆ แล้วมีความเสี่ยงต่อช่องโหว่ที่ถูกค้นพบก่อนหน้านี้ผ่านส่วนประกอบดั้งเดิม เช่น DLLs ไดรเวอร์ และเคอร์เนล NT
“ฉันสามารถสร้างคอมพิวเตอร์ Windows ที่ได้รับแพตช์เต็มรูปแบบซึ่งไวต่อช่องโหว่ในอดีต ทำให้ช่องโหว่ที่มีแพตช์ไม่ได้รับแพตช์ และทำให้คำว่า ‘แพตช์’ ที่มีการแพตช์เต็มรูปแบบนั้นไม่มีความหมายในทางปฏิบัติบนคอมพิวเตอร์ Windows ทุกเครื่องในโลก” Leviev กล่าว
แม้ว่าความปลอดภัยของเคอร์เนลได้รับการปรับปรุงอย่างเห็นได้ชัดในช่วงไม่กี่ปีที่ผ่านมา แต่ Leviev ก็ยังคงสามารถข้ามคุณสมบัติ Driver Signature Enforcement (DSE) ได้ โดยแนะนำว่าผู้โจมตีสามารถอัปโหลดไดรเวอร์เคอร์เนลที่ไม่ได้ลงนามได้ ดังนั้นจึงปรับใช้มัลแวร์รูทคิต ซึ่งไม่เพียงแต่ปิดการใช้งานมาตรการรักษาความปลอดภัยเท่านั้น แต่ยังซ่อนกิจกรรมของผู้โจมตีที่อาจนำไปสู่การตรวจจับการบุกรุกเข้าสู่ระบบอีกด้วย
“ในช่วงไม่กี่ปีที่ผ่านมา มีการปรับปรุงความปลอดภัยของเคอร์เนลที่สำคัญ อย่างไรก็ตาม แม้จะสมมติว่าสิทธิ์ผู้ดูแลระบบสามารถถูกบุกรุกได้ แต่ก็ยังมีช่องโหว่ที่ทำให้ผู้โจมตีทำสิ่งต่าง ๆ ได้ง่ายขึ้น” – Leviev เน้นย้ำ
Leviev ได้ตั้งชื่อช่องโหว่ของเขาว่า “ItsNotASecurityBoundary” DSE bypass เนื่องจากมันอาศัยไฟล์ที่ไม่เปลี่ยนรูปซึ่งแก้ไขช่องโหว่ นี่เป็นช่องโหว่ระดับใหม่ใน Windows ซึ่งอธิบายโดย Gabriel Landau จาก Elastic ว่าเป็นวิธีการเรียกใช้โค้ดโดยอำเภอใจด้วยสิทธิ์เคอร์เนล หลังจากที่ Landau รายงานช่องโหว่นี้ Microsoft ได้แก้ไขช่องโหว่ “ItsNotASecurityBoundary” อย่างรวดเร็วเพื่อป้องกันการเพิ่มระดับสิทธิ์จากผู้ดูแลระบบไปยังเคอร์เนล อย่างไรก็ตาม การแก้ไขช่องโหว่นี้ยังคงไม่สามารถป้องกันการโจมตีแบบเสื่อมโทรมได้อย่างเต็มที่ตามที่ Leviev ชี้ให้เห็น
กำหนดเป้าหมายเคอร์เนล
งานวิจัยใหม่ที่เผยแพร่ในวันนี้โดย Leviev แสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากกระบวนการอัพเดต Windows เพื่อหลีกเลี่ยงการป้องกัน DSE ได้อย่างไร ซึ่งสามารถทำได้โดยการดาวน์เกรดส่วนประกอบที่มีแพตช์ แม้ในระบบ Windows 11 ที่อัปเดตอย่างสมบูรณ์ก็ตาม การโจมตีนี้เกิดขึ้นได้ด้วยการแทนที่ไฟล์ ‘ci.dll’ ซึ่งรับผิดชอบในการรัน DSE ด้วยเวอร์ชันที่ยังไม่ได้แพตช์ซึ่งจะเพิกเฉยต่อลายเซ็นต์ของไดรเวอร์ทั้งหมด เทคนิคนี้เอาชนะการตรวจสอบการป้องกัน Windows ได้อย่างมีประสิทธิภาพ
กระบวนการเปลี่ยนทดแทนนี้เกิดขึ้นภายในกระบวนการ Windows Update ทุกอย่างเกิดขึ้นโดยการใช้ประโยชน์จากเงื่อนไขการอ่านสองครั้ง โดยที่สำเนา ci.dll ที่มีช่องโหว่จะถูกโหลดลงในหน่วยความจำทันทีหลังจากที่ Windows เริ่มตรวจสอบ ci.dll เวอร์ชันล่าสุด
เหตุการณ์ที่เรียกว่า “race window” นี้ทำให้สามารถโหลด ci.dll ที่มีช่องโหว่ได้ เมื่อ Windows ยังคงคิดว่าได้ตรวจสอบไฟล์แล้ว จึงทำให้สามารถอัปโหลดไดรเวอร์ที่ไม่ได้ลงชื่อไปยังเคอร์เนลได้ สิ่งนี้ไม่เพียงแสดงช่องโหว่ในกระบวนการอัพเดตของ Windows แต่ยังเปิดเส้นทางที่เป็นไปได้สำหรับผู้โจมตีในการปรับใช้โค้ดที่เป็นอันตราย
ในวิดีโอที่นำเสนอด้านล่าง Leviev สาธิตวิธีที่เขากู้คืนแพตช์ DSE ผ่านการโจมตีแบบลดระดับลง และใช้ประโยชน์จากส่วนประกอบบนคอมพิวเตอร์ที่ได้รับแพตช์เต็มรูปแบบซึ่งใช้ Windows 11 23H2 เขาไม่ลังเลเลยที่จะอธิบายวิธีการปิดการใช้งานหรือเลี่ยงผ่าน Virtualization-Based Security (VBS) ของ Microsoft นี่คือคุณลักษณะที่สร้างสภาพแวดล้อมแบบแยกสำหรับ Windows ที่ปกป้องทรัพยากรที่จำเป็นและทรัพย์สินด้านความปลอดภัย เช่น กลไกความสมบูรณ์ของโค้ดเคอร์เนลที่ปลอดภัย (skci.dll) และการรับรองความถูกต้องของผู้ใช้ที่จัดตั้งขึ้น
สารบัญของบทความ
Discover more from 24 Gadget - Review Mobile Products
Subscribe to get the latest posts sent to your email.
