Rootkit possono superare le difese di Windows con un downgrade delle patch

Qualche tempo fa avevamo parlato di un problema scoperto in Windows che può essere sfruttato da parte di malintenzionati e criminali informatici per annullare gli effetti delle patch di sicurezza precedentemente applicate a livello di sistema operativo. Un attacco downgrade che spiana la strada all’utilizzo di codici exploit per vulnerabilità che si ritenevano ormai definitivamente risolte.

Alon Leviev, il ricercatore di SafeBreach autore del precedente studio, ha annunciato di aver individuato una nuova problematica. Gli aggressori possono effettuare il downgrade dei componenti del kernel Windows per scavalcare funzionalità come Driver Signature Enforcement. Vulnerabilità di questo tenore possono aprire le porte a infezioni rootkit sui sistemi completamente aggiornati con le ultime patch di sicurezza.

Come funziona il downgrade del kernel Windows che apre le porte ai rootkit

La vulnerabilità messa a fuoco da Leviev risiede nella possibilità di prendere il controllo del processo di Windows Update per reintrodurre componenti di sistema datati e vulnerabili, nonostante il sistema risulti aggiornato. Questa tecnica permette di aggirare le patch di sicurezza applicate, riportando il sistema a uno stato vulnerabile.

Microsoft ha finora minimizzato il problema, ma l’attacco è stato dimostrato durante le conferenze BlackHat e DEFCON, evidenziando un rischio più che concreto.

Driver Signature Enforcement (DSE) è una funzionalità di sicurezza nei sistemi operativi Windows che verifica la firma digitale dei driver dei dispositivi prima di consentirne il caricamento nel sistema. Questa misura di sicurezza impedisce che software non autorizzato, come driver non firmati o potenzialmente dannosi, possa essere eseguito a livello di kernel, guadagnando pieno accesso all’hardware e alle risorse di sistema.

L’aggiramento della DSE è particolarmente rilevante perché permette agli attaccanti di caricare driver non firmati a livello di kernel, portando all’installazione di rootkit che possono disabilitare i controlli di sicurezza e mascherare attività malevole, minacciando l’integrità del sistema.

Lo strumento Windows Downdate

Leviev ha sviluppato uno strumento chiamato Windows Downdate per intervenire direttamente sulla configurazione di un sistema che risulta apparentemente aggiornato, esponendolo a vulnerabilità già note tramite componenti obsoleti come DLL, driver o il kernel.

Il ricercatore chiama “ItsNotASecurityBoundary” il nuovo metodo per il bypassing di DSE, una tecnica che sfrutta vulnerabilità in file apparentemente immutabili. In particolare, sostituendo il file ci.dll, alla base del funzionamento di DSE, si eludono i controlli di Windows, rendendo possibili attacchi mirati anche su Windows 11.

Leviev ha documentato anche dei metodi per disabilitare o aggirare la Virtualization Based Security (VBS) di Windows, che protegge risorse essenziali come il meccanismo di integrità del codice del kernel (skci.dll) e le credenziali utente. Sebbene VBS sia generalmente protetto tramite UEFI e configurazioni di registro, può essere disabilitato attraverso la modifica mirata del contenuto di alcune chiavi.

Quando VBS è attivo solo parzialmente, è possibile sostituire file essenziali come SecureKernel.exe con versioni corrotte, aprendo la strada al bypass “ItsNotASecurityBoundary” e al successivo downgrade dei componenti di Windows.

Un aggiornamento in arrivo

Sebbene Microsoft abbia risolto alcune delle vulnerabilità sfruttate nell’attacco (CVE-2024-21302 e CVE-2024-38202), resta ancora da affrontare il problema del controllo del processo di Windows Update da parte di componenti non autorizzati.

L’azienda di Redmond è attualmente impegnata nello sviluppo di un aggiornamento di sicurezza che revoca i file VBS obsoleti e non patchati. Tuttavia, la risoluzione nella sua interezza del problema segnalato da Leviev richiede una valutazione complessa e test approfonditi.

Credit immagine in apertura: iStock.com – da-kuk