مایکروسافت اعلام کرده است که در حال توسعه بهروزرسانیهای امنیتی برای رفع دو آسیبپذیری روز صفر(Zero-Day) است که میتواند برای اجرای حملات کاهش سطح (Downgrade Attack) علیه بهروزرسانی ویندوز مورد بهرهبرداری قرار گیرد. این نقصها میتوانند نسخههای فعلی فایلهای سیستمعامل را با نسخههای قدیمیتر جایگزین کنند و این حمله که "Windows Downdate" نام گرفته میتواند سیستمهای ویندوز را از حالت بهروز خارج کرده و آسیبپذیریهای قدیمی را به آنها بازگرداند.
جزئیات دو آسیبپذیری روز صفر ذکر شده به شرح زیر است:
- آسیبپذیری با شناسهی CVE-2024-38202 که با شدت بالا و شدت CVSS 7.3 شناسایی شده است، یک نقص امنیتی افزایش سطح دسترسی در فرایند بهروزرسانی ویندوز است. این آسیبپذیری مهاجمی با دسترسیهای کاربری پایه را قادر میسازد تا آسیبپذیریهایی که قبلاً رفع شدهاند را دوباره فعال کند یا برخی از ویژگیهای امنیتی مبتنی بر مجازیسازی (VBS) را دور بزند.
VBS(Virtualization-Based Security) یک ویژگی امنیتی پیشرفته در ویندوز است که از فناوری مجازیسازی برای ایجاد محیطهای امن و جداگانه در حافظهی سیستم استفاده میکند. این محیطها برای حفاظت از کدهای حیاتی سیستم و ذخیره اطلاعات حساس مانند اعتبارنامههای کاربران طراحی شدهاند. این اعتبارنامهها شامل توکنهای امنیتی، رمزهای عبور و اطلاعات احراز هویت و مجوزهای مربوط به کاربر میباشند.
در شرایط عادی، ویندوز بهروزرسانیهای جدید را دریافت و نصب میکند تا از جدیدترین قابلیتهای امنیتی و رفع نقصهای موجود بهرهمند شود. اما این آسیبپذیری به مهاجمان اجازه میدهد تا روند بهروزرسانی را به گونهای دستکاری کنند که به جای نصب نسخههای جدیدتر و امنتر، اجزای اصلی سیستمعامل به نسخههای قدیمیتر و آسیبپذیر بازگردانده شوند. در نتیجه، سیستم بهروز به نظر میرسد، اما در واقع با آسیبپذیریهای قدیمی و رفعنشده روبروست و بدین ترتیب ابزارهای بازیابی و اسکن نیز قادر به شناسایی این نقص نخواهند بود.
با این حال، مایکروسافت خاطرنشان کرده است که مهاجم برای بهرهبرداری از این نقص ابتدا باید یک مدیر سیستم یا کاربری با دسترسیهای ویژه را متقاعد کند تا یک بازیابی سیستم انجام دهد که بهطور ناخواسته این آسیبپذیری را فعال میکند.
- آسیبپذیری با شناسه CVE-2024-21302 و شدت متوسط و شدت CVSS 6.7 که یک نقص افزایش سطح دسترسی در حالت هسته امن ویندوز (Windows Secure Kernel Mode) است. در سیستمهای ویندوز که از VBS پشتیبانی میکنند، به مهاجم اجازه میدهد تا نسخههای فعلی فایلهای سیستم ویندوز را با نسخههای قدیمی جایگزین کند. این نقص همچنین میتواند برای بازیابی مجدد نقصهای امنیتی قبلاً وصلهشده، دور زدن برخی ویژگیهای VBS، و استخراج اطلاعات محافظتشده توسط VBS مورد استفاده قرار گیرد.
به گفته محققی که حمله "Windows Downdate" را معرفی کرده است، این روش حمله میتواند یک سیستم ویندوز کاملاً بهروز را در معرض هزاران آسیبپذیری قدیمی قرار دهد و عملاً مفهوم "کاملاً بهروز" را برای هر سیستم ویندوزی در جهان بیمعنی کند.
این شیوه میتواند فرآیند بهروزرسانی ویندوز را به نحوی تحت کنترل درآورد که امکان کاهش سطح بهروزرسانیها به شکلی نامحسوس، پایدار و غیرقابل بازگشت در اجزای حساس سیستمعامل فراهم شود.
علاوه بر این، "Windows Downdate" قادر است مراحل اجرای Trusted Installer را دور بزند، به طوری که امکان کاهش سطح بهروزرسانی اجزای حساس سیستمعامل، از جمله کتابخانههای پیوند پویا (DLL)، درایورها، و هسته NT (New Technology Kernel) را فراهم کند.
در Error! Reference source not found. دو پردازه که مسئول مدیریت و نصب بروزرسانیها هستند مشاهده میشوند.Update Server Process مسئول نهایی بهروزرسانی فایلهای حیاتی است که با فرمانپذیری از Trusted Installer به جریان میافتد. از طرفی Update Client Process که تحت کنترل Administrator است، به طور مستقیم توان تغییر فایلهای سیستم را ندارد و بیشتر به عنوان یک درخواستکننده عمل میکند. مهاجم با ارتقاء سطح دسترسی به Administrator میتواند فرایند Update Client Process را کنترل کرده و از طریق راه ارتباطی COM (یک ارتباط بین پردازهای) اجرای Trusted Installer را دور بزند و دستورات مخرب بهروزرسانی فایلهای سیستم را به Update Server Process ارسال کند. با بازگرداندن نسخههای آسیبپذیر قبلی این فایلها، موفق میشود آسیبپذیریهایی که قبلاً برطرف شدهاند را دوباره فعال کرده و امنیت سیستم را کاهش دهد.
در این حمله، سیستمعامل گزارش میدهد که سیستم کاملاً بهروز است و همزمان از نصب بهروزرسانیهای جدید جلوگیری کرده و مانع شناسایی توسط ابزارهای بازیابی و اسکن میشود.
به گفته محققان، با توجه به این که ویژگیهای VBS مایکروسافت در سال ۲۰۱۵ معرفی شد، امکان حملهی "Windows Downdate" تقریباً یک دهه است که وجود دارد.
محصولات تحت تاثیر
تمامی سیستمهایی که از ویندوز 10 و 11 استفاده میکنند، سرورهای ویندوزی ۲۰۱۶ و بالاتر و نسخههایی از ماشینهای مجازی Azure که از VBS پشتیبانی میکنند، در معرض خطر هستند.
توصیههای امنیتی
Microsoft توصیههای ذیل را برای کاهش خطرات مرتبط با این آسیبپذیریها تا زمان انتشار بهروزرسانیهای امنیتی لازم ارائه داده است:
- نظارت بر تلاشهای دسترسی به فایلها و عملیاتهایی مانند ایجاد Handleها، خواندن/نوشتن، یا تغییرات در پردازههای امنیتی با پیکربندی تنظیمات “Audit Object Access”.
- نظارت بر استفاده از مجوزهای حساس با استفاده از ابزارهایی که برای شناسایی دسترسیها و تغییرات در فایلهای مرتبط با VBS و Backup طراحی شدهاند.
- بررسی گزارشات خطر با استفاده از Microsoft Entra ID Protection و Azure Active Directory و فعال کردن “احراز هویت چند مرحلهای” برای کاربران و مدیرانی که در معرض خطر هستند.
با توجه به اینکه هنوز هیچ گونه تلاشی برای بهرهبرداری از این آسیبپذیریها گزارش نشده است، Microsoft به کاربران خود توصیه میکند تا با رعایت نکات امنیتی فوق و همچنین دنبال کردن بهروزرسانیهای آینده، از سیستمهای خود محافظت کنند.
منابع خبر:
[1] https://thehackernews.com/2024/08/windows-downgrade-attack-risks-exposing.html
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202
- 184