Novas pesquisas apresentadas na conferência de segurança Black Hat em Las Vegas hoje mostram que uma vulnerabilidade no Windows Update poderia ser explorada para rebaixar o Windows para versões mais antigas, expondo uma série de vulnerabilidades históricas que então podem ser exploradas para obter controle total de um sistema. A Microsoft diz que está trabalhando em um processo complexo para corrigir cuidadosamente o problema, apelidado de “Downdate”.
Alon Leviev, o pesquisador da SafeBreach Labs que descobriu a falha, diz que começou a buscar possíveis métodos de ataque de rebaixamento depois de ver que uma campanha de hacking surpreendente do ano passado estava usando um tipo de malware (conhecido como “BlackLotus UEFI bootkit”) que dependia do rebaixamento do gerenciador de inicialização do Windows para uma versão antiga e vulnerável. Após investigar o fluxo de atualizações do Windows, Leviev descobriu um caminho para rebaixar estrategicamente o Windows – seja o sistema operacional inteiro ou apenas componentes especificamente escolhidos. A partir daí, ele desenvolveu um ataque de prova de conceito que utilizava esse acesso para desativar a proteção do Windows conhecida como Segurança Baseada em Virtualização (VBS) e, por fim, mirar em código altamente privilegiado em execução no núcleo do computador.
“Encontrei um exploit de rebaixamento que é totalmente indetectável porque é realizado usando o próprio Windows Update”, que o sistema confia, disse Leviev à WIRED antes de sua palestra na conferência. “Em termos de invisibilidade, não desinstalei nenhuma atualização – basicamente atualizei o sistema mesmo que nos bastidores tenha sido rebaixado. Portanto, o sistema não está ciente do rebaixamento e ainda parece estar atualizado.”
A capacidade de rebaixamento de Leviev vem de uma falha nos componentes do processo de atualização do Windows. Para fazer uma atualização, seu PC coloca essencialmente uma solicitação de atualização em uma pasta de atualização especial. Em seguida, ele apresenta esta pasta ao servidor de atualização da Microsoft, que verifica e confirma sua integridade. Em seguida, o servidor cria uma pasta de atualização adicional para você que só ele pode controlar, onde coloca e finaliza a atualização e também armazena uma lista de ações – chamada “pending.xml” – que inclui as etapas do plano de atualização, como quais arquivos serão atualizados e onde o novo código será armazenado em seu computador. Quando você reinicia seu PC, ele executa as ações da lista e atualiza o software.
A ideia é que, mesmo se seu computador, incluindo sua pasta de atualização, estiver comprometido, um ator mal-intencionado não possa sequestrar o processo de atualização porque as partes cruciais acontecem na pasta de atualização controlada pelo servidor. Leviev examinou de perto os diferentes arquivos na pasta de atualização do usuário e na pasta de atualização do servidor, e eventualmente descobriu que, embora não pudesse modificar a lista de ações na pasta de atualização do servidor diretamente, uma das chaves que a controla – chamada “PoqexecCmdline” – não estava bloqueada. Isso deu a Leviev uma maneira de manipular a lista de ações e, com ela, o processo de atualização inteiro, sem o sistema perceber que algo estava errado.
Com esse controle, Leviev encontrou estratégias para rebaixar vários componentes-chave do Windows, incluindo drivers, que coordenam com periféricos de hardware; bibliotecas de vínculo dinâmico, que contêm programas e dados do sistema; e, crucialmente, o núcleo NT, que contém as instruções mais básicas para um computador funcionar. Todos esses podem ser rebaixados para versões mais antigas que contêm vulnerabilidades conhecidas e corrigidas. E Leviev ainda ampliou o alcance a partir daí, encontrando estratégias para rebaixar componentes de segurança do Windows, incluindo o Kernel Seguro do Windows; o componente de senha e armazenamento do Windows Guarda de Credenciais; o hipervisor, que cria e supervisiona máquinas virtuais em um sistema; e VBS, o mecanismo de segurança de virtualização do Windows.
A técnica não inclui uma maneira de primeiro obter acesso remoto a um dispositivo da vítima, mas para um atacante que já tem acesso inicial, poderia permitir um verdadeiro ataque, porque o Windows Update é um mecanismo tão confiável e pode reintroduzir uma vasta gama de vulnerabilidades perigosas que foram corrigidas pela Microsoft ao longo dos anos. A Microsoft diz que não viu nenhuma tentativa de explorar a técnica.
“Estamos desenvolvendo ativamente mitigação para proteger contra esses riscos enquanto seguimos um processo extenso envolvendo uma investigação detalhada, desenvolvimento de atualizações em todas as versões afetadas e testes de compatibilidade, para garantir proteção máxima ao cliente com interrupção operacional minimizada”, disse um porta-voz da Microsoft à WIRED em comunicado.
Parte da correção da empresa envolve revogar arquivos de sistema VBS vulneráveis, o que deve ser feito com cuidado e gradualmente, porque poderia causar problemas de integração ou reintroduzir outros problemas não relacionados que foram previamente resolvidos por esses mesmos arquivos de sistema.
Leviev enfatiza que os ataques de rebaixamento são uma ameaça importante para a comunidade de desenvolvedores considerar, pois os hackers continuam procurando caminhos para entrar em sistemas-alvo que são furtivos e difíceis de detectar.
