Uma nova vulnerabilidade no Windows permite que atacantes contornem medidas de segurança e instalem rootkits, mesmo em sistemas com as mais recentes actualizações.
Esta técnica, demonstrada pelo investigador da SafeBreach, Alon Leviev, utiliza o Windows Update para recuar componentes essenciais do kernel para versões mais antigas e vulneráveis, ultrapassando características de segurança do sistema como o Driver Signature Enforcement (DSE). Com esta técnica de downgrade, os atacantes podem explorar vulnerabilidades que entretanto já tenham sido corrigidas, deixando os sistemas vulneráveis a malware, apesar de estarem "actualizados" e supostamente seguros.
A técnica de Leviev, apresentada nas conferências BlackHat e DEFCON, utiliza uma ferramenta chamada "Windows Downdate" para substituir ficheiros actualizados do sistema por versões desactualizadas, tornando o sistema vulnerável. Embora a Microsoft tenha reconhecido o problema de downgrade, ainda não lançou uma correcção, dizendo que está em processo de analisar o problema. Até lá, o facto de se ter um sistema Windows totalmente actualizado continuará a dar uma falsa sensação de segurança aos utilizadores.
O ataque foca-se especificamente no DSE, uma função que bloqueia drivers não autorizados, permitindo a hackers carregar rootkits que escapam à deteção por software de segurança. O método "ItsNotASecurityBoundary" também contorna as protecções VBS (Virtualization-based Securit) da Microsoft, permitindo a substituição de ficheiros de segurança essenciais, como o "ci.dll" e "SecureKernel.exe" por versões corrompidas. Ao desactivar o VBS, os atacantes podem aceder ao kernel e manipulá-lo.
Leviev alerta que, embora a Microsoft ainda não tenha resolvido as vulnerabilidades exploradas na sua demonstração, as organizações devem precaver-se contra este tipo de ataques de downgrade. Até que a Microsoft corrija a falha do Windows Update, as ferramentas de monitorização e medidas de segurança proactivas são a melhor defesa.
Sem comentários:
Enviar um comentário