يؤدي هجوم الرجوع إلى إصدار Windows القديم إلى تعريض الأنظمة المصححة لنقاط الضعف القديمة
قالت Microsoft إنها تعمل على تطوير تحديثات أمنية لمعالجة ثغرتين قالت إنه من الممكن إساءة استغلالهما لشن هجمات الرجوع إلى إصدار أقدم ضد بنية تحديث Windows واستبدال الإصدارات الحالية من ملفات Windows بإصدارات أقدم.
نقاط الضعف مذكورة أدناه –
- CVE-2024-38202 (درجة CVSS: 7.3) – رفع مستوى مكدس Windows Update للثغرة الأمنية للامتياز
- CVE-2024-21302 (درجة CVSS: 6.7) – رفع وضع Windows Secure Kernel لثغرة الامتياز
يرجع الفضل في اكتشاف العيوب والإبلاغ عنها إلى الباحث في SafeBreach Labs ألون ليفيف، الذي قدم النتائج في القبعة السوداء الولايات المتحدة الأمريكية 2024 و ديف كون 32.
وقالت شركة التكنولوجيا العملاقة إن CVE-2024-38202، المتجذر في مكون Windows Backup، يسمح “للمهاجم الذي يتمتع بامتيازات المستخدم الأساسية بإعادة تقديم نقاط الضعف التي تم تخفيفها مسبقًا أو التحايل على بعض ميزات Virtualization Based Security (VBS)”.
ومع ذلك، فقد لاحظت أن المهاجم الذي يحاول الاستفادة من الخلل سيتعين عليه إقناع المسؤول أو المستخدم الذي لديه أذونات مفوضة بإجراء عملية استعادة النظام التي تؤدي عن غير قصد إلى ظهور الثغرة الأمنية.
وتتعلق الثغرة الثانية أيضًا بحالة تصعيد الامتيازات في أنظمة Windows التي تدعم VBS، مما يسمح بشكل فعال للخصم باستبدال الإصدارات الحالية من ملفات نظام Windows بإصدارات قديمة.
تتمثل عواقب CVE-2024-21302 في أنه يمكن تسليحه لإعادة تقديم العيوب الأمنية التي تمت معالجتها مسبقًا، وتجاوز بعض ميزات VBS، وسحب البيانات المحمية بواسطة VBS.
ليفيف، الذي قام بتفصيل أداة أطلق عليها اسم Windows Downdate، قال يمكن استخدامه لتحويل “جهاز يعمل بنظام Windows تم تصحيحه بالكامل وعرضة لآلاف من نقاط الضعف السابقة، مما يحول الثغرات الأمنية الثابتة إلى أيام صفرية ويجعل مصطلح “مصحح بالكامل” بلا معنى على أي جهاز يعمل بنظام Windows في العالم.”
وأضاف ليفيف أن الأداة “يمكن أن تتولى عملية Windows Update لصياغة تخفيضات غير قابلة للاكتشاف وغير مرئية ومستمرة ولا رجعة فيها على مكونات نظام التشغيل المهمة – مما سمح لي برفع الامتيازات وتجاوز ميزات الأمان.”
علاوة على ذلك، فإن Windows Downdate قادر على تجاوز خطوات التحقق، مثل التحقق من التكامل وفرض Trusted Installer، مما يجعل من الممكن بشكل فعال تخفيض مكونات نظام التشغيل الهامة، بما في ذلك مكتبات الارتباط الديناميكي (DLLs) وبرامج التشغيل وNT kernel.
علاوة على ذلك، يمكن استغلال المشكلات لخفض مستوى عملية وضع المستخدم المعزول لـ Credential Guard، وSecure Kernel، وHyper-V Hypervisor لكشف نقاط الضعف السابقة لتصعيد الامتيازات، بالإضافة إلى تعطيل VBS، إلى جانب ميزات مثل تكامل التعليمات البرمجية المحمية من Hypervisor ( HVCI).
والنتيجة النهائية هي أن نظام Windows الذي تم تصحيحه بالكامل يمكن أن يصبح عرضة لآلاف من نقاط الضعف السابقة ويحول أوجه القصور الثابتة إلى أيام صفر.
ولهذه التخفيضات تأثير إضافي حيث يبلغ نظام التشغيل أن النظام قد تم تحديثه بالكامل، بينما يمنع في نفس الوقت تثبيت التحديثات المستقبلية ويمنع الاكتشاف بواسطة أدوات الاسترداد والفحص.
قال ليفيف: “كان هجوم الرجوع إلى إصدار أقدم الذي تمكنت من تحقيقه على مكدس المحاكاة الافتراضية داخل Windows ممكنًا بسبب خلل في التصميم سمح لمستويات/حلقات ثقة افتراضية أقل امتيازًا بتحديث المكونات الموجودة في مستويات/حلقات ثقة افتراضية أكثر امتيازًا”.
“كان هذا مفاجئًا للغاية، نظرًا لأنه تم الإعلان عن ميزات VBS من Microsoft في عام 2015، مما يعني أن سطح الهجوم الذي اكتشفته كان موجودًا منذ عقد تقريبًا.”
إرسال التعليق