شناسایی آسیب‌پذیری دانگرید سیستم‌ عامل که کرنل مایکروسافت ویندوز را هدف قرار می‌دهد

 یک تکنیک حمله جدید می‌تواند برای دور زدن اجرای امضای درایور مایکروسافت (DSE) در سیستم های ویندوز کاملاً وصله شده استفاده شود که منجر به حملات دانگرید سیستم عامل (OS) شود.

مهاجمان می‌توانند اجزای کرنل ویندوز را دانگرید کنند تا ویژگی‌های امنیتی مانند Driver Signature Enforcement (DSE) را دور بزنند و روت‌کیت‌ها را در سیستم‌های کاملاً وصله شده مستقر سازند. این امر با دو نقص ارتقا دسترسی با شناسه‌های CVE-2024-21302 و CVE-2024-38202 و در دست گرفتن کنترل فرآیند به‌روزرسانی ویندوز برای معرفی مؤلفه‌های نرم‌افزاری آسیب‌پذیر و قدیمی در یک دستگاه به‌روز، بدون تغییر وضعیت کامل وصله‌ شده توسط سیستم عامل، امکان‌پذیر است.

Alon Leviev محقق امنیتی SafeBreach روش خود را ItsNotASecurityBoundary” DSE bypass” نامید و مشکل تصاحب به‌روزرسانی را گزارش کرد اما مایکروسافت ضمن رد آن، گفت: که از یک مرز امنیتی تعریف‌ شده عبور نمی‌کند، اگرچه با به دست آوردن اجرای کد کرنل به‌ عنوان ادمین امکان‌پذیر بود. این محقق ابزاری به نام Windows Downdate را منتشر کرد که امکان ایجاد دانگریدهای سفارشی را می‌دهد و سیستم کاملاً به‌روزرسانی شده را از طریق مؤلفه‌های منسوخ شده مانند DLL، درایورها و کرنل NT در معرض آسیب‌پذیری‌های از پیش وصله شده قرار می‌دهد.

https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/
https://thehackernews.com/2024/10/researchers-uncover-os-downgrade.html