فعال شدن آسیب‌پذیری‌های قدیمی به دلیل شکاف امنیتی در به‌روز‌رسانی‌های ویندوز

مایکروسافت اعلام کرده است که در حال توسعه به‌روزرسانی‌های امنیتی برای رفع دو آسیب‌پذیری روز صفر(Zero-Day)  است که می‌تواند برای اجرای حملات کاهش سطح (Downgrade Attack) علیه به‌روزرسانی ویندوز مورد بهره‌برداری  قرار گیرد. این نقص‌ها می‌توانند نسخه‌های فعلی فایل‌های سیستم‌عامل را با نسخه‌های قدیمی‌تر جایگزین کنند و این حمله که "Windows Downdate" نام گرفته می‌تواند سیستم‌های ویندوز را از حالت به‌روز خارج کرده و آسیب‌پذیری‌های قدیمی را به آن‌ها بازگرداند.
جزئیات دو آسیب‌پذیری روز صفر ذکر شده به شرح زیر است:

• آسیب‌پذیری با شناسه‌ی CVE-2024-38202 که با شدت بالا و شدت CVSS 7.3 شناسایی شده است، یک نقص امنیتی افزایش سطح دسترسی در فرایند به‌روزرسانی ویندوز است. این آسیب‌پذیری مهاجمی با دسترسی‌های کاربری پایه را قادر می‌سازد تا آسیب‌پذیری‌هایی که قبلاً رفع شده‌اند را دوباره فعال کند یا برخی از ویژگی‌های امنیتی مبتنی بر مجازی‌سازی (VBS) را دور بزند.

VBS(Virtualization-Based Security) یک ویژگی امنیتی پیشرفته در ویندوز است که از فناوری مجازی‌سازی برای ایجاد محیط‌های امن و جداگانه در حافظه‌ی سیستم استفاده می‌کند. این محیط‌ها برای حفاظت از کدهای حیاتی سیستم و ذخیره اطلاعات حساس مانند اعتبارنامه‌های کاربران طراحی شده‌اند. این اعتبارنامه‌ها شامل توکن‌های امنیتی، رمزهای عبور و اطلاعات احراز هویت و مجوزهای مربوط به کاربر می‌باشند.
در شرایط عادی، ویندوز به‌روزرسانی‌های جدید را دریافت و نصب می‌کند تا از جدیدترین قابلیت‌های امنیتی و رفع نقص‌های موجود بهره‌مند شود. اما این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا روند به‌روزرسانی را به گونه‌ای دستکاری کنند که به جای نصب نسخه‌های جدیدتر و امن‌تر، اجزای اصلی سیستم‌عامل به نسخه‌های قدیمی‌تر و آسیب‌پذیر بازگردانده شوند. در نتیجه، سیستم به‌روز به نظر می‌رسد، اما در واقع با آسیب‌پذیری‌های قدیمی و رفع‌نشده روبروست و بدین ترتیب ابزارهای بازیابی و اسکن نیز قادر به شناسایی این نقص نخواهند بود.
با این حال، مایکروسافت خاطرنشان کرده است که مهاجم برای بهره‌برداری از این نقص ابتدا باید یک مدیر سیستم یا کاربری با دسترسی‌های ویژه را متقاعد کند تا یک بازیابی سیستم انجام دهد که به‌طور ناخواسته این آسیب‌پذیری را فعال می‌کند.

• آسیب‌پذیری با شناسه CVE-2024-21302 و شدت متوسط و شدت CVSS 6.7 که یک نقص افزایش سطح دسترسی در حالت هسته امن ویندوز (Windows Secure Kernel Mode) است. در سیستم‌های ویندوز که از VBS پشتیبانی می‌کنند، به مهاجم اجازه می‌دهد تا نسخه‌های فعلی فایل‌های سیستم ویندوز را با نسخه‌های قدیمی جایگزین کند. این نقص همچنین می‌تواند برای بازیابی مجدد نقص‌های امنیتی قبلاً وصله‌شده، دور زدن برخی ویژگی‌های VBS، و استخراج اطلاعات محافظت‌شده توسط VBS مورد استفاده قرار گیرد.

به گفته محققی که حمله‌ "Windows Downdate" را معرفی کرده است، این روش حمله می‌تواند یک سیستم ویندوز کاملاً به‌روز را در معرض هزاران آسیب‌پذیری قدیمی قرار دهد و عملاً مفهوم "کاملاً به‌روز" را برای هر سیستم ویندوزی در جهان بی‌معنی کند.
این شیوه می‌تواند فرآیند به‌روزرسانی ویندوز را به نحوی تحت کنترل درآورد که امکان کاهش سطح به‌روزرسانی‌ها به شکلی نامحسوس، پایدار و غیرقابل بازگشت در اجزای حساس سیستم‌عامل فراهم شود.

علاوه بر این، "Windows Downdate"  قادر است مراحل اجرای Trusted Installer را دور بزند، به طوری که امکان کاهش سطح به‌روزرسانی اجزای حساس سیستم‌عامل، از جمله کتابخانه‌های پیوند پویا (DLL)، درایورها، و هسته NT (New Technology Kernel)  را فراهم کند.
در Error! Reference source not found. دو پردازه که مسئول مدیریت و نصب بروزرسانی‌ها هستند مشاهده می‌شوند.Update Server Process  مسئول نهایی به‌روزرسانی فایل‌های حیاتی است که با فرمان‌پذیری از Trusted Installer به جریان می‌افتد. از طرفی Update Client Process  که تحت کنترل Administrator است، به طور مستقیم توان تغییر فایل‌های سیستم را ندارد و بیشتر به عنوان یک درخواست‌کننده عمل می‌کند. مهاجم با ارتقاء سطح دسترسی به Administrator می‌تواند فرایند Update Client Process  را کنترل کرده و از طریق راه ارتباطی COM (یک ارتباط بین پردازه‌ای) اجرای Trusted Installer را دور بزند و دستورات مخرب به‌روزرسانی فایل‌های سیستم را به Update Server Process ارسال کند. با بازگرداندن نسخه‌های آسیب‌پذیر قبلی این فایل‌ها، موفق می‌شود آسیب‌پذیری‌هایی که قبلاً برطرف شده‌اند را دوباره فعال کرده و امنیت سیستم را کاهش دهد.
در این حمله، سیستم‌عامل گزارش می‌دهد که سیستم کاملاً به‌روز است و همزمان از نصب به‌روزرسانی‌های جدید جلوگیری کرده و مانع شناسایی توسط ابزارهای بازیابی و اسکن می‌شود.
به گفته محققان، با توجه به این که ویژگی‌های VBS مایکروسافت در سال ۲۰۱۵ معرفی شد، امکان حمله‌ی "Windows Downdate"  تقریباً یک دهه است که وجود دارد.
 

محصولات تحت تاثیر
تمامی سیستم‌هایی که از ویندوز 10 و 11 استفاده می‌کنند، سرورهای ویندوزی ۲۰۱۶  و بالاتر و نسخه‌هایی از ماشین‌های مجازی Azure که از VBS پشتیبانی می‌کنند، در معرض خطر هستند.
 

توصیه‌های امنیتی
Microsoft توصیه‌های ذیل را برای کاهش خطرات مرتبط با این آسیب‌پذیری‌ها تا زمان انتشار به‌روزرسانی‌های امنیتی لازم ارائه داده است‌:

• نظارت بر تلاش‌های دسترسی به فایل‌ها و عملیات‌هایی مانند ایجاد Handle‌ها، خواندن/نوشتن، یا تغییرات در پردازه‌های امنیتی با پیکربندی تنظیمات “Audit Object Access”.
• نظارت بر استفاده از مجوزهای حساس با استفاده از ابزارهایی که برای شناسایی دسترسی‌ها و تغییرات در فایل‌های مرتبط با VBS و Backup طراحی شده‌اند.
• بررسی گزارشات خطر با استفاده از Microsoft Entra ID Protection و Azure Active Directory و فعال کردن “احراز هویت چند مرحله‌ای” برای کاربران و مدیرانی که در معرض خطر هستند.

با توجه به اینکه هنوز هیچ گونه تلاشی برای بهره‌برداری از این آسیب‌پذیری‌ها گزارش نشده است، Microsoft به کاربران خود توصیه می‌کند تا با رعایت نکات امنیتی فوق و همچنین دنبال کردن به‌روزرسانی‌های آینده، از سیستم‌های خود محافظت کنند.
 

منابع خبر:

[1] https://thehackernews.com/2024/08/windows-downgrade-attack-risks-exposing.html
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202