การเลี่ยงการบังคับลายเซ็นไดรเวอร์ของ Windows
- ผู้โจมตีสามารถดาวน์เกรดคอมโพเนนต์เคอร์เนลของ Windows เพื่อเลี่ยงฟีเจอร์ความปลอดภัย เช่น การบังคับใช้ลายเซ็นไดรเวอร์ และติดตั้งรูทคิตบนระบบที่แพตช์ครบถ้วนแล้วได้
- สามารถควบคุมกระบวนการอัปเดตของ Windows เพื่อนำคอมโพเนนต์ซอฟต์แวร์รุ่นเก่าที่มีช่องโหว่เข้ามาในระบบที่เป็นเวอร์ชันล่าสุดได้
การดาวน์เกรด Windows
- Alon Leviev นักวิจัยด้านความปลอดภัยจาก SafeBreach รายงานปัญหาเรื่องอาร์กิวเมนต์ของการอัปเดต แต่ Microsoft มองว่าไม่ข้ามขอบเขตความปลอดภัย จึงเพิกเฉยต่อประเด็นนี้
- Leviev สาธิตให้เห็นว่าการโจมตีนี้ทำได้จริงในงานประชุมด้านความปลอดภัย BlackHat และ DEFCON และปัญหานี้ยังไม่ได้รับการแก้ไข
- นักวิจัยเปิดเผยเครื่องมือชื่อ Windows Downdate ซึ่งสามารถสร้างการดาวน์เกรดแบบกำหนดเอง และเปิดช่องให้ช่องโหว่ที่เคยถูกแก้ไปแล้วกลับมาใช้งานได้ผ่านคอมโพเนนต์รุ่นเก่า
- Leviev แสดงให้เห็นว่าสามารถเลี่ยงฟีเจอร์ Driver Signature Enforcement (DSE) เพื่อโหลดเคอร์เนลไดรเวอร์ที่ไม่มีลายเซ็น และปล่อยมัลแวร์ประเภท rootkit ที่ปิดการทำงานของการควบคุมด้านความปลอดภัยได้
การโจมตีที่มุ่งเป้าเคอร์เนล
- Leviev อธิบายวิธีใช้ประโยชน์จากกระบวนการอัปเดตของ Windows เพื่อเลี่ยงการป้องกัน DSE
- สามารถแทนที่ไฟล์
ci.dll ด้วยเวอร์ชันที่ยังไม่ได้แพตช์ เพื่อเพิกเฉยต่อลายเซ็นไดรเวอร์และเลี่ยงการตรวจสอบการป้องกันของ Windows ได้
- การแทนที่นี้ถูกทริกเกอร์โดย Windows Update และอาศัยเงื่อนไขการอ่านซ้ำสองครั้ง โดย Windows ตรวจสอบสำเนาล่าสุด ขณะที่สำเนา
ci.dll ที่มีช่องโหว่ถูกโหลดเข้าไปในหน่วยความจำ
- ยังมีการอธิบายวิธีปิดใช้งานหรือเลี่ยง VBS (Virtualization-based Security) ด้วย
สรุปโดย GN⁺
- บทความนี้อธิบายวิธีใช้ช่องโหว่ด้านความปลอดภัยในระบบ Windows เพื่อเลี่ยงการบังคับใช้ลายเซ็นไดรเวอร์และติดตั้งรูทคิต
- การโจมตีลักษณะนี้เป็นไปได้ผ่านการใช้ประโยชน์จากกระบวนการอัปเดตของ Windows เพื่อดาวน์เกรดคอมโพเนนต์ที่เคยได้รับการแพตช์แล้ว
- สิ่งนี้ตอกย้ำว่าเครื่องมือด้านความปลอดภัยควรเฝ้าติดตามขั้นตอนการดาวน์เกรดอย่างใกล้ชิด โดยเฉพาะแม้ในกรณีที่ดูเหมือนไม่ได้ข้ามขอบเขตความปลอดภัยที่สำคัญ
- เครื่องมือความปลอดภัยอื่นที่มีความสามารถคล้ายกันและแนะนำคือโซลูชัน EDR (Endpoint Detection and Response)
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
MS อ้างว่า UAC ไม่ใช่ขอบเขตความปลอดภัย ส่วนการบังคับใช้ลายเซ็นไดรเวอร์เป็นฟีเจอร์ด้านความปลอดภัย แต่ในกรณีนี้ก็อ้างว่าไม่ได้ข้ามขอบเขตความปลอดภัย
ผู้ใช้แสดงความเห็นว่ารู้สึกยังขาดโมเดลเชิงแนวคิดสำหรับอธิบายว่าทำไม Windows จึงเปราะบางต่อการถูกแฮ็ก
ผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบสามารถทำงานใดก็ได้ตามต้องการบนคอมพิวเตอร์ และสงสัยว่ามีความแตกต่างเล็กน้อยอะไรที่ทำให้การโจมตีนี้ร้ายแรงขึ้นหรือไม่
มีความเห็นว่ายากจะเชื่อที่ Microsoft ยังโต้แย้งทั้งที่มีเดโมอยู่แล้ว และในบัญชี Vimeo ยังมีการค้นพบด้านความปลอดภัยอื่น ๆ อีกมาก
การรันโค้ดระดับเคอร์เนลด้วยสิทธิ์ผู้ดูแลระบบทำให้ผู้ใช้ root สามารถติดตั้ง rootkit ได้ โดยนักวิจัยได้เผยแพร่เครื่องมือชื่อ Windows Downdate
ใน Windows และ Linux บัญชีภายในเครื่องที่เป็นสิทธิ์ทั่วไปนั้นแทบจะเทียบเท่า root ในทางปฏิบัติ มีความเห็นเกี่ยวกับความแตกต่างระหว่าง UAC และ sudo และมองว่าการเอาทั้งสองออกจากค่าเริ่มต้นอาจดีกว่า
เคอร์เนลบังคับใช้กฎการแชร์ไฟล์ แต่ไม่ได้ตรวจสอบสิทธิ์ที่ขัดแย้งกันสำหรับ memory mapping ส่วน Linux ได้ถอดการบังคับล็อกออกไปแล้ว
การโจมตีนี้ง่ายจนน่าสงสัย เพียงหลอกกระบวนการอัปเดตให้ติดตั้งคอมโพเนนต์เคอร์เนลเวอร์ชันเก่าที่มีช่องโหว่ และมีความเห็นว่า MS น่าจะพิจารณาปัญหานี้ไว้แล้ว
ผู้ใช้คนหนึ่งรำลึกถึงความยากลำบากในตอนที่ Microsoft เริ่มบังคับให้ต้องมีการเซ็นลายเซ็นไดรเวอร์ และชื่นชม Alon Leviev กับ SafeBreach ที่ค้นพบช่องโหว่นี้
มีความเห็นว่าสามารถดัดแปลง Windows 11 ให้เป็น OS ที่ดีกว่าได้ แต่ควรโฟกัสที่เรื่อง rootkit