Перейти к содержанию

Уязвимость Windows Downdate: техника эксплуатации и контрмеры

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Все приложения, включая ОС, содержат уязвимости, поэтому регулярные обновления для их устранения — один из ключевых принципов кибербезопасности. Именно на механизм обновлений нацелились авторы атаки Windows Downdate, поставив себе задачу незаметно «откатить» актуальную версию Windows до старой, содержащей уязвимые версии служб и файлов. После выполнения этой атаки полностью обновленная система оказывается вновь уязвимой к старым и хорошо изученным эксплойтам и ее можно легко скомпрометировать до самого глубокого уровня, реализовав даже компрометацию гипервизора и безопасного ядра и кражу учетных данных. При этом обычные инструменты проверки обновлений и «здоровья» системы будут рапортовать, что все полностью актуально и обновлять нечего.

Механика атаки

Исследователи фактически нашли два разных дефекта с немного различным механизмом работы. Одна уязвимость, получившая идентификатор CVE-2024-21302 и чаще называемая Downdate, основана на недочете в процессе установки обновлений. Хотя компоненты, получаемые во время обновления, контролируются, защищены от модификаций, подписаны цифровой подписью, на одном из промежуточных этапов установки (между перезагрузками) процедура обновления создает, а затем применяет файл со списком планируемых действий (pending.xml). Если создать этот файл самостоятельно и занести информацию о нем в реестр, то доверенный установщик (Windows Modules Installer service, TrustedInstaller) выполнит инструкции из него при перезагрузке.

Вообще-то, содержимое pending.xml верифицируется, но на предыдущих этапах установки, TrustedInstaller не делает проверку заново. Прописать в него что попало и установить таким образом произвольные файлы не получится, они должны быть подписаны Microsoft, но вот заменить системные файлы более старыми файлами самой Microsoft вполне можно. Таким образом, система может быть вновь подвержена давно исправленным уязвимостям, включая критические. Чтобы добавить в реестр необходимые ключи, касающиеся pending.xml, требуются права администратора, а затем еще потребуется инициировать перезагрузку системы. Но это единственное весомое ограничение для проведения атаки. Повышенные права (при которых Windows запрашивает у администратора дополнительное разрешение на затемненном экране) для атаки не требуются, для большинства средств защиты выполняемые атакой действия также не входят в разряд подозрительных.

Второй дефект, CVE-2024-38202, основан на подмене содержимого папки Windows.old, в которой система обновления хранит старую версию Windows. Хотя файлы в этой папке невозможно модифицировать без специальных привилегий, обычный пользователь может переименовать папку целиком, создать Windows.old заново и положить в нее нужные ему файлы, например устаревшие опасные версии системных файлов Windows. Затем нужно инициировать восстановление системы — и откат Windows к уязвимой версии состоится. Для восстановления системы нужны определенные права, но это не права администратора, ими иногда обладают и обычные пользователи.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sputnikk
      Windows 10
      От sputnikk
      Страница загрузки Windows 10 Technical Preview
      http://windows.microsoft.com/ru-ru/windows/preview-coming-soon
    • Kirik_
      Windows 11
      От Kirik_
      Первые скриншоты Windows 11 — изменения коснулись «Пуска», панели задач, интерфейса и многого другого
      В Сети оказались опубликованы скриншоты, сделанные в грядущей операционной системе Windows 11 от компании Microsoft. На опубликованных изображениях демонстрируется новый пользовательский интерфейс, свежее меню «Пуск» и многое другое. Поскольку это очень ранняя сборка, некоторые элементы новой ОС остались такими же, как у текущей версии Windows 10.
       
      Новый пользовательский интерфейс и меню «Пуск» в Windows 11 очень похожи на те, что изначально были в Windows 10X. Microsoft пыталась упростить интерфейс Windows для использования на устройствах с двумя экранами, но в конечном счёте отказалась от дальнейшей разработки Windows 10X. Позже компания пообещала использовать те наработки в основной версии ОС, и как видно, сдержала обещание — многие элементы легли в основу новой Windows 11.
       
      Наиболее заметное визуальное отличие новой ОС связано с панелью задач. Microsoft решила сместить иконки приложений с левого нижнего края экрана в центр. Здесь же находится и новая кнопка меню «Пуск». Последняя представляет собой упрощённую версию того меню, что сегодня присутствует в Windows 10.
       
      В новой версии операционной системы используются закруглённые углы окон. Контекстуальные меню, иконки, а также окно проводника — теперь всё имеет закруглённые углы, включая иконки и окна меню «Пуск».
       
      На панели задач Windows 11 можно увидеть новую иконку Widgets (виджеты). Слухи о том, что компания вернёт их в новую ОС, ходят уже давно. Правда, сами виджеты из-за «сырости» версии сборки пока недогружаются. С помощью виджетов можно будет быстро узнать погоду, свежие новости и другую полезную информацию из Сети.
       
      В ранней сборке Windows 11 компания пока не вносила изменения в интерфейс магазина приложений Windows Store. Прежде сообщалось, что Microsoft собирается серьёзно переработать магазин приложений и сделать его более дружелюбным не только для пользователей, но и для разработчиков приложений. Для них упростят размещение контента на платформе, а также позволят использовать в приложениях сторонние платёжные сервисы.
       
      Визуально изменится и процесс установки Windows 11. Однако пользователя как и раньше будут сопровождать по каждому шагу установки и настройки новой ОС. При каждой загрузке Windows 11 пользователя будет встречать новый звук запуска системы.
       
      Microsoft подробно расскажет о «следующем поколении Windows» на специальном мероприятии, которое состоится в конце этого месяца. Софтверный гигант начал рассылку приглашений на мероприятие, которое будет полностью посвящено программной платформе Windows и начнётся в 18:00 (мск) 24 июня.
       
      Источник
    • KL FC Bot
      Уязвимости SLAP и FLOP в процессорах Apple | Блог Касперского
      От KL FC Bot
      Интересную атаку, точнее, сразу две атаки с использованием двух разных уязвимостей в процессорах Apple, недавно продемонстрировали исследователи из университетов Германии и США. Представьте себе, что кто-то присылает вам ссылку в чате. Вы открываете ее, и там на первый взгляд нет ничего подозрительного. Никто не просит ввести ваш пароль от рабочей почты, не предлагает скачать сомнительный файл. Возможно, на странице даже есть что-то полезное или интересное. Но пока вы это полезное просматриваете, скрытый код читает информацию из соседней вкладки браузера и таким образом узнает, где вы находитесь в данный момент, что вы в последний раз покупали в популярном интернет-магазине, или, например, похищает текст электронного письма.
      Описание атаки выглядит достаточно просто, но на самом деле речь идет о сложнейшей атаке, эксплуатирующей особенности так называемого спекулятивного выполнения инструкций процессором.
      Подождите, но мы это уже где-то слышали!
      Действительно, по своему принципу новые атаки напоминают различные варианты атак типа Spectre, эксплуатирующих другие, хотя отчасти похожие уязвимости в процессорах Intel и AMD. Мы писали об этих атаках раньше: в 2022 году, через 4 года после обнаружения самой первой уязвимости Spectre, мы пришли к выводу, что реального, простого и действенного метода эксплуатации этих уязвимостей нет. Использовать свежеобнаруженные проблемы в чипах Apple также непросто, но есть важное отличие: исследователи в новой работе сразу предлагают достаточно реалистичные варианты атак и доказывают их возможность. Чтобы разобраться, насколько опасны данные уязвимости, давайте коротко, и не вдаваясь в дебри сложного научного исследования, повторим основные принципы всех подобных атак.
       
      View the full article
    • OlegGS
      Установка требуемых обновлений и закрытие уязвимостей
      От OlegGS
      Здравствуйте.
      Для обновления Windows в политике Агента администрирования настроено - "Запретить устанавливать обновления Центра обновления Windows"
      Здесь описано "Пользователи не могут устанавливать обновления Центра обновления Windows на своих устройства вручную. Все применимые обновления устанавливаются в соответствии с настройкой, заданной администратором."
       
      Задача "Установка требуемых обновлений и закрытие уязвимостей" в ключена с настройками в приложенном файле.
       
      Задача для всех устройств "висит" в статусе "Ожидает выполнения".
       
      Почему? Помогите разобраться, настроить.

    • KL FC Bot
      Как взламывают уязвимые роботы-пылесосы Ecovacs | Блог Касперского
      От KL FC Bot
      Представьте: встаете вы ночью попить водички, идете по неосвещенному коридору, и тут из темноты на вас кто-то начинает громко орать. Ситуация, согласитесь, крайне неприятная. И в нее вполне можно попасть по вине уязвимого робота-пылесоса — взломщики могут заставить самобеглую железку по их команде накричать на хозяина. Но это еще не все: хакеры могут управлять роботом удаленно и включать с него живые трансляции.
      И это совсем не теоретическая опасность: не так давно случаи, когда сетевые хулиганы использовали уязвимые роботы-пылесосы для того, чтобы портить жизнь людям, были зафиксированы, что называется, в дикой природе. Рассказываем обо всем по порядку.
      Как устроен робот-пылесос
      Начнем с того, что современный робот-пылесос — это полноценный компьютер на колесиках, работающий под управлением Linux. У него есть мощный многоядерный процессор ARM, солидный объем оперативной памяти, вместительный флеш-накопитель, Wi-Fi и Bluetooth.
      Любой современный робот-пылесос — это полноценный компьютер на колесиках. Источник
       
      View the full article
×
×
  • Создать...