Um novo formato de ataque tem vindo a ser explorado no Windows, permitindo reduzir a segurança do mesmo para instalar malware e outras atividades maliciosas no mesmo. A falha explora o kernel do sistema, sendo capaz de realizar o downgrade de certos componentes de segurança no mesmo. Isto permite que falhas antigas possam voltar a ser exploradas para atacar o sistema diretamente.
Esta falha encontra-se diretamente relacionada com o Windows Update, o processo associado com a atualização do Windows. Se explorada, a falha pode permitir que certos componentes do sistema sejam atualizados para uma versão antiga, abrindo portas para que possam ser exploradas outras falhas conhecidas.
O investigador da empresa SafeBreach, Alon Leviev, reportou a falha diretamente à Microsoft, mas a empresa não considerou a mesma como sendo uma falha de segurança, embora o investigador tenha conseguido explorar o kernel do sistema para executar processos com modo de administrador.
O investigador criou mesmo uma ferramenta, apelidada de Windows Downdate, que é capaz de explorar esta falha, e demonstrar os riscos associados com a permissão de se realizar a alteração de serviços fundamentais do sistema para versões mais antigas.
Uma das funcionalidades de segurança que foi contornada pela exploração desta falha foi o Driver Signature Enforcement (DSE), um sistema integrado no kernel do Windows, que permite ao sistema verificar todos os drivers carregados e garantir que os mesmos estão corretamente assinados.
Explorando a falha, o investigador conseguiu enganar este sistema para carregar drivers potencialmente maliciosos, que podem usar os sistema para variados ataques, demonstrando claramente que a falha possui um grande impacto no mercado.
Apesar de ter demonstrado a falha em vários eventos dedicados a este fim, a Microsoft continua a não lançar uma correção para a mesma, considerando que esta não atinge os parâmetros para ser considerada uma falha de segurança no sistema. Em parte a Microsoft considera que isto não será uma falha visto que é necessário ter permissões de administrador no sistema afetado para explorar a mesma - apesar de ainda assim ser possível que se execute código malicioso diretamente do kernel do Windows.
Nenhum comentário
Seja o primeiro!