Lỗ hổng Windows Update có thể bị lợi dụng bởi tấn công hạ cấp không thể phát hiện
Trong bài thuyết trình tại hội nghị Black Hat ở Las Vegas, Leviev đã trình bày cách ông có thể chiếm quyền kiểm soát quy trình Windows Update để tạo ra các bản hạ cấp tùy chỉnh trên các thành phần quan trọng của hệ điều hành, nâng cao đặc quyền và bỏ qua các tính năng bảo mật. Ông cho rằng những lỗ hổng lớn trong kiến trúc Windows Update của Microsoft có thể bị tin tặc khai thác để thực hiện các cuộc tấn công hạ cấp phần mềm khiến các lỗ hổng dù đã được vá cũng trở nên vô nghĩa trên bất kỳ máy tính Windows nào trên thế giới.
Nhà nghiên cứu người Israel cho biết: “Tôi có thể làm cho một máy tính chạy Windows được vá đầy đủ trở nên dễ bị tấn công bởi hàng nghìn lỗ hổng trong quá khứ, biến các lỗ hổng đã được vá thành lỗ hổng zero-day”. Ông cho biết ông đã tìm ra cách thao túng tệp danh sách XML để sử dụng công cụ Windows Downdate bỏ qua mọi bước xác minh, bao gồm xác minh tính toàn vẹn và thực thi Trình cài đặt tin cậy.
Trong một cuộc phỏng vấn trước buổi thuyết trình, Leviev cho biết công cụ này có khả năng hạ cấp các thành phần hệ điều hành thiết yếu khiến hệ điều hành báo cáo sai rằng đã được cập nhật đầy đủ. Các cuộc tấn công hạ cấp, còn được gọi là các cuộc tấn công khôi phục phiên bản, sẽ đưa phần mềm an toàn, được cập nhật đầy đủ trở về phiên bản cũ hơn với các lỗ hổng có thể khai thác được.
Leviev cho biết ông đã kiểm tra Windows Update sau khi phát hiện bộ công cụ BlackLotus UEFI Bootkit chứa một thành phần hạ cấp phần mềm và tìm được một số lỗ hổng trong kiến trúc Windows Update để hạ cấp các thành phần chính, bỏ qua khóa UEFI của Windows Virtualization-Based Security (VBS) và phát hiện ra các lỗ hổng leo thang đặc quyền trong ngăn xếp ảo hóa.
Leviev cũng trình bày một cuộc tấn công hạ cấp vào ngăn xếp ảo hóa trong Windows, lợi dụng một lỗi thiết kế cho phép các vòng/mức độ tin cậy ảo ít đặc quyền hơn cập nhật các thành phần nằm trong các vòng/mức độ tin cậy ảo nhiều đặc quyền hơn. Ông mô tả việc hạ cấp phần mềm là "không thể phát hiện" và "vô hình" và cảnh báo rằng hậu quả của vụ tấn công này có thể vượt ra ngoài hệ điều hành Windows.
SafeBreach Labs đã báo cáo sự cố này với Microsoft vào tháng 2 năm nay và đã nỗ lực làm việc trong sáu tháng qua để giúp giảm thiểu sự cố.
Mới đây, Alon Leviev đã công bố công cụ Windows Downdate, dùng để tấn công hạ cấp, đưa các lỗ hổng đã được vá trở lại với Windows 10, Windows 11 và Windows Server. Windows Downdate có ở dạng chương trình nguồn mở Python và tệp thi hành Windows đã được biên dịch. Dù Microsoft đã công bố bản cập nhật KB5041773 để vá lỗ hổng CVE-2024-21302 (Windows Secure Kernel Mode privilege escalation flaw) vào ngày 7/8, cùng ngày Alon Leviev trình bày tại hội nghị Black Hat nhưng họ chưa cung cấp bản vá cho CVE-2024-38202 (lỗ hổng leo thang đặc quyền Windows Update Stack).
Trong khi chờ đợi bản cập nhật bảo mật, khách hàng được khuyên thực hiện các biện pháp nêu trong khuyến cáo bảo mật (http://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202) để giúp bảo vệ chống lại các cuộc tấn công hạ cấp Windows Downdate. Các biện pháp giảm thiểu bao gồm cấu hình Audit Object Access để theo dõi các nỗ lực truy cập tệp, hạn chế các hoạt động cập nhật và khôi phục, sử dụng Access Control Lists để hạn chế quyền truy cập tệp và kiểm tra đặc quyền để xác định các nỗ lực khai thác lỗ hổng này.
Nguyễn Anh Tuấn (tổng hợp)