Novas pesquisas apresentadas hoje na conferência de segurança Black Hat em Las Vegas mostram que uma vulnerabilidade no Windows Update poderia ser explorada para rebaixar o Windows para versões mais antigas, expondo uma série de vulnerabilidades históricas que então podem ser exploradas para obter controle total de um sistema. A Microsoft diz que está trabalhando em um processo complexo para corrigir cuidadosamente o problema, chamado “Downdate”.
O pesquisador Alon Leviev, do SafeBreach Labs, que descobriu a falha, diz que começou a procurar possíveis métodos de ataque de rebaixamento após perceber que uma impressionante campanha de hackers do ano passado estava usando um tipo de malware (conhecido como o “bootkit UEFI BlackLotus”) que dependia do rebaixamento do gerenciador de inicialização do Windows para uma versão antiga e vulnerável. Após investigar o fluxo de atualização do Windows, Leviev descobriu um caminho para rebaixar estrategicamente o Windows – seja o sistema operacional inteiro ou apenas componentes especificamente escolhidos. A partir daí, ele desenvolveu um ataque de prova de conceito que utilizava esse acesso para desabilitar a proteção do Windows conhecida como Virtualization-Based Security (VBS) e, por fim, mirar em código altamente privilegiado em execução no “kernel” do computador.
“Achei um exploit de rebaixamento que é totalmente indetectável porque é realizado usando o próprio Windows Update”, que o sistema confia, disse Leviev à WIRED antes de sua palestra na conferência. “Em termos de invisibilidade, não desinstalei nenhuma atualização – basicamente atualizei o sistema, mesmo que por baixo dos panos ele tenha sido rebaixado. Então o sistema não está ciente do rebaixamento e ainda parece atualizado.”
A capacidade de rebaixamento de Leviev vem de uma falha nos componentes do processo de atualização do Windows. Para realizar uma atualização, seu PC coloca essencialmente um pedido de atualização em uma pasta de atualização especial. Em seguida, apresenta esta pasta ao servidor de atualização da Microsoft, que verifica e confirma sua integridade. Em seguida, o servidor cria uma pasta de atualização adicional para você que somente ele pode controlar, onde ele coloca e finaliza a atualização e também armazena uma lista de ações – chamada “pending.xml” – que inclui as etapas do plano de atualização, como quais arquivos serão atualizados e onde o novo código será armazenado em seu computador. Quando você reiniciar seu PC, ele executa as ações da lista e atualiza o software.
A ideia é que mesmo que seu computador, incluindo sua pasta de atualização, seja comprometido, um ator mal-intencionado não pode sequestrar o processo de atualização porque as partes cruciais dele acontecem na pasta de atualização controlada pelo servidor. Leviev examinou de perto os diferentes arquivos da pasta de atualização do usuário e da pasta de atualização do servidor, e eventualmente descobriu que enquanto ele não podia modificar diretamente a lista de ações na pasta de atualização do servidor, uma das chaves que a controlava – chamada “PoqexecCmdline” – não estava bloqueada. Isso deu a Leviev uma maneira de manipular a lista de ações e, com ela, todo o processo de atualização, sem o sistema perceber que algo estava errado.
Com esse controle, Leviev então encontrou estratégias para rebaixar múltiplos componentes chave do Windows, inclusive drivers, que coordenam com periféricos de hardware; bibliotecas de vínculo dinâmico, que contêm programas e dados do sistema; e, crucialmente, o kernel NT, que contém as instruções mais básicas para um computador funcionar. Todos esses podiam ser rebaixados para versões mais antigas que contêm vulnerabilidades conhecidas e corrigidas. E Leviev ainda ampliou o alcance daí, para encontrar estratégias para rebaixar componentes de segurança do Windows, incluindo o Núcleo Seguro do Windows; o componente de senha e armazenamento do Windows Credential Guard; o hipervisor, que cria e supervisiona máquinas virtuais em um sistema; e VBS, o mecanismo de segurança de virtualização do Windows.
A técnica não inclui um modo de primeiro obter acesso remoto a um dispositivo da vítima, mas para um atacante que já possui acesso inicial, ela poderia possibilitar um verdadeiro ataque, porque o Windows Update é um mecanismo tão confiável e pode reintroduzir uma vasta gama de vulnerabilidades perigosas que foram corrigidas pela Microsoft ao longo dos anos. A Microsoft diz que não viu nenhuma tentativa de explorar a técnica.
“Estamos desenvolvendo ativamente mitigadores para proteger contra esses riscos, seguindo um processo extensivo que envolve uma investigação minuciosa, desenvolvimento de atualização em todas as versões afetadas e testes de compatibilidade, para garantir proteção máxima ao cliente com distúrbios operacionais mínimos”, disse um porta-voz da Microsoft à WIRED em um comunicado.
Parte da correção da empresa envolve revogar arquivos de sistema VBS vulneráveis, o que deve ser feito com cuidado e gradualmente, pois poderia causar problemas de integração ou reintroduzir outros problemas não relacionados que foram previamente tratados por esses mesmos arquivos de sistema.
Leviev enfatiza que os ataques de rebaixamento são uma ameaça importante para a comunidade de desenvolvedores considerar, já que os hackers sempre buscam caminhos para sistemas-alvo que sejam furtivos e difíceis de detectar.
