.
Uma nova pesquisa apresentada na conferência de segurança Black Hat em Las Vegas hoje mostra que uma vulnerabilidade no Windows Update pode ser explorada para fazer downgrade do Windows para versões mais antigas, expondo uma série de vulnerabilidades históricas que podem ser exploradas para obter controle total de um sistema. A Microsoft diz que está trabalhando em um processo complexo para corrigir cuidadosamente o problema, apelidado de “Downdate”.
Alon Leviev, o pesquisador do SafeBreach Labs que descobriu a falha, diz que começou a procurar possíveis métodos de ataque de downgrade depois de ver que uma campanha de hacking surpreendente do ano passado estava usando um tipo de malware (conhecido como “BlackLotus UEFI bootkit”) que dependia do downgrade do gerenciador de boot do Windows para uma versão antiga e vulnerável. Depois de sondar o fluxo do Windows Update, Leviev descobriu um caminho para fazer o downgrade estratégico do Windows — seja de todo o sistema operacional ou apenas de componentes escolhidos especificamente. A partir daí, ele desenvolveu um ataque de prova de conceito que utilizou esse acesso para desabilitar a proteção do Windows conhecida como Virtualization-Based Security (VBS) e, finalmente, atingir o código altamente privilegiado em execução no “kernel” central do computador.
“Encontrei um exploit de downgrade que é totalmente indetectável porque é executado usando o próprio Windows Update”, no qual o sistema confia, Leviev disse à WIRED antes de sua palestra na conferência. “Em termos de invisibilidade, não desinstalei nenhuma atualização — basicamente atualizei o sistema, embora, por baixo dos panos, ele tenha sido rebaixado. Então, o sistema não está ciente do downgrade e ainda parece atualizado.”
A capacidade de downgrade de Leviev vem de uma falha nos componentes do processo do Windows Update. Para executar uma atualização, seu PC coloca o que é essencialmente uma solicitação de atualização em uma pasta de atualização especial. Em seguida, ele apresenta essa pasta ao servidor de atualização da Microsoft, que verifica e confirma sua integridade. Em seguida, o servidor cria uma pasta de atualização adicional para você que somente ele pode controlar, onde ele coloca e finaliza a atualização e também armazena uma lista de ações — chamada “pending.xml” — que inclui as etapas do plano de atualização, como quais arquivos serão atualizados e onde o novo código será armazenado em seu computador. Quando você reinicia seu PC, ele pega as ações da lista e atualiza o software.
A ideia é que, mesmo que seu computador, incluindo sua pasta de atualização, esteja comprometido, um agente mal-intencionado não pode sequestrar o processo de atualização porque as partes cruciais dele acontecem na pasta de atualização controlada pelo servidor. Leviev olhou atentamente para os diferentes arquivos na pasta de atualização do usuário e na pasta de atualização do servidor, e ele finalmente descobriu que, embora não pudesse modificar a lista de ações na pasta de atualização do servidor diretamente, uma das chaves que a controlavam — chamada “PoqexecCmdline” — não estava bloqueada. Isso deu a Leviev uma maneira de manipular a lista de ações e, com ela, todo o processo de atualização, sem que o sistema percebesse que algo estava errado.
Com esse controle, Leviev então encontrou estratégias para fazer downgrade de vários componentes-chave do Windows, incluindo drivers, que coordenam com periféricos de hardware; bibliotecas de vínculo dinâmico, que contêm programas e dados do sistema; e, crucialmente, o kernel do NT, que contém a maioria das instruções principais para um computador executar. Todos eles poderiam ser rebaixados para versões mais antigas que contêm vulnerabilidades conhecidas e corrigidas. E Leviev até lançou uma rede mais ampla a partir daí, para encontrar estratégias para fazer downgrade de componentes de segurança do Windows, incluindo o Windows Secure Kernel; o componente de senha e armazenamento do Windows Credential Guard; o hipervisor, que cria e supervisiona máquinas virtuais em um sistema; e o VBS, o mecanismo de segurança de virtualização do Windows.
A técnica não inclui uma maneira de primeiro obter acesso remoto ao dispositivo da vítima, mas para um invasor que já tem acesso inicial, ela pode permitir uma verdadeira onda de violência, porque o Windows Update é um mecanismo tão confiável e pode reintroduzir uma vasta gama de vulnerabilidades perigosas que foram corrigidas pela Microsoft ao longo dos anos. A Microsoft diz que não viu nenhuma tentativa de explorar a técnica.
“Estamos desenvolvendo ativamente mitigações para proteger contra esses riscos, seguindo um processo extensivo que envolve uma investigação completa, desenvolvimento de atualizações em todas as versões afetadas e testes de compatibilidade, para garantir proteção máxima ao cliente com interrupção operacional minimizada”, disse um porta-voz da Microsoft à WIRED em um comunicado.
Parte da correção da empresa envolve revogar arquivos de sistema VBS vulneráveis, o que deve ser feito com cuidado e gradualmente, porque pode causar problemas de integração ou reintroduzir outros problemas não relacionados que foram resolvidos anteriormente por esses mesmos arquivos de sistema.
Leviev enfatiza que os ataques de downgrade são uma ameaça importante que a comunidade de desenvolvedores deve considerar, pois os hackers buscam incansavelmente caminhos para sistemas-alvo que sejam furtivos e difíceis de detectar.
.
