یک تکنیک حمله جدید میتواند برای دور زدن اجرای امضای درایور مایکروسافت (DSE) در سیستم های ویندوز کاملاً وصله شده استفاده شود که منجر به حملات دانگرید سیستم عامل (OS) شود.
مهاجمان میتوانند اجزای کرنل ویندوز را دانگرید کنند تا ویژگیهای امنیتی مانند Driver Signature Enforcement (DSE) را دور بزنند و روتکیتها را در سیستمهای کاملاً وصله شده مستقر سازند. این امر با دو نقص ارتقا دسترسی با شناسههای CVE-2024-21302 و CVE-2024-38202 و در دست گرفتن کنترل فرآیند بهروزرسانی ویندوز برای معرفی مؤلفههای نرمافزاری آسیبپذیر و قدیمی در یک دستگاه بهروز، بدون تغییر وضعیت کامل وصله شده توسط سیستم عامل، امکانپذیر است.
Alon Leviev محقق امنیتی SafeBreach روش خود را ItsNotASecurityBoundary” DSE bypass” نامید و مشکل تصاحب بهروزرسانی را گزارش کرد اما مایکروسافت ضمن رد آن، گفت: که از یک مرز امنیتی تعریف شده عبور نمیکند، اگرچه با به دست آوردن اجرای کد کرنل به عنوان ادمین امکانپذیر بود. این محقق ابزاری به نام Windows Downdate را منتشر کرد که امکان ایجاد دانگریدهای سفارشی را میدهد و سیستم کاملاً بهروزرسانی شده را از طریق مؤلفههای منسوخ شده مانند DLL، درایورها و کرنل NT در معرض آسیبپذیریهای از پیش وصله شده قرار میدهد.
https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/
https://thehackernews.com/2024/10/researchers-uncover-os-downgrade.html
