Windows ड्राइवर सिग्नेचर बायपास
- हमलावर Windows kernel components को downgrade करके driver signature enforcement जैसी security features को bypass कर सकते हैं, और पूरी तरह patched systems पर rootkit इंस्टॉल कर सकते हैं.
- Windows update process को नियंत्रित करके नवीनतम systems में पुराने, vulnerable software components डाले जा सकते हैं.
Windows downgrade
- SafeBreach के security researcher Alon Leviev ने update argument issue की रिपोर्ट की, लेकिन Microsoft ने इसे security boundary को पार न करने वाला मानकर अनदेखा किया.
- Leviev ने BlackHat और DEFCON security conferences में इस attack को संभव दिखाया, और समस्या अब भी unresolved है.
- researcher ने Windows Downdate नाम का एक tool जारी किया, जो custom downgrade बनाने और पहले से fixed vulnerabilities को पुराने components के ज़रिए फिर से expose करने में सक्षम है.
- Leviev ने दिखाया कि driver signature enforcement (DSE) feature को bypass करके unsigned kernel drivers लोड किए जा सकते हैं और security controls को disable करने वाला rootkit malware deploy किया जा सकता है.
kernel targeting
- Leviev ने बताया कि Windows update process का दुरुपयोग करके DSE protection को कैसे bypass किया जा सकता है.
ci.dll फ़ाइल को unpatched version से बदलकर driver signatures को ignore किया जा सकता है और Windows के protection checks को bypass किया जा सकता है.- यह replacement Windows update द्वारा trigger होता है, और उस double-read condition का दुरुपयोग करता है जिसमें Windows latest copy को verify करता है जबकि vulnerable
ci.dll copy memory में load हो जाती है.
- VBS (virtualization-based security) को disable या bypass करने के तरीके भी बताए गए.
GN⁺ का सार
- यह लेख बताता है कि Windows systems की security weakness का दुरुपयोग करके driver signature enforcement को bypass किया जा सकता है और rootkit इंस्टॉल किया जा सकता है.
- ऐसे attacks Windows update process का दुरुपयोग कर patched components को downgrade करके संभव बनते हैं.
- यह इस बात पर ज़ोर देता है कि security tools को downgrade procedures पर कड़ी नज़र रखनी चाहिए, खासकर तब भी जब मामला किसी महत्वपूर्ण security boundary को पार न करता हो.
- समान क्षमता वाले अन्य security tools के रूप में EDR (Endpoint Detection and Response) solutions की सिफारिश की गई है.
1 टिप्पणियां
Hacker News राय
MS का कहना है कि UAC कोई security boundary नहीं है. ड्राइवर signature enforcement को security feature माना जाता है, लेकिन इस मामले में उनका दावा है कि यह security boundary को पार नहीं करता
एक यूज़र की राय है कि Windows हैकिंग के प्रति इतना संवेदनशील क्यों है, इसे समझाने वाला कोई ठोस conceptual model नहीं है
administrator अधिकार वाला यूज़र कंप्यूटर पर मनमाना काम कर सकता है. एक यूज़र सोचता है कि क्या कोई सूक्ष्म अंतर है जो इस हमले की गंभीरता को और बढ़ाता है
एक राय यह है कि demo मौजूद होने के बावजूद Microsoft का विरोध करना यक़ीन करना मुश्किल है. Vimeo अकाउंट पर दूसरी कई security findings भी हैं
administrator अधिकारों के साथ kernel code execution के ज़रिए root यूज़र rootkit install कर सकता है. शोधकर्ता ने Windows Downdate नाम का एक टूल जारी किया है
एक राय के अनुसार Windows और Linux में सामान्य privilege वाला local account व्यवहार में root के लगभग बराबर है. UAC और sudo के अंतर पर भी टिप्पणी है. डिफ़ॉल्ट सेटिंग में दोनों को हटाना बेहतर होगा, ऐसी भी राय है
kernel file sharing rules को enforce करता है, लेकिन memory mapping के लिए conflicting permissions की जाँच नहीं करता. Linux ने mandatory locking हटा दिया है
हमला इतना आसान है कि शक होता है. update process को धोखा देकर vulnerable kernel component का पुराना version install कराया जाता है. एक राय है कि MS ने इस समस्या पर पहले से विचार किया होगा
एक यूज़र को वह कठिनाई याद है जब Microsoft ने driver signing अनिवार्य किया था. इस vulnerability को खोजने वाले Alon Leviev और SafeBreach की प्रशंसा की गई है
एक राय है कि Windows 11 के साथ छेड़छाड़ करके उसे बेहतर OS बनाया जा सकता है, लेकिन फ़ोकस rootkit पर रहना चाहिए