خلل في Windows Update يفتح الباب أمام عمليات استغلال الزومبي
يُظهر بحث جديد تم تقديمه في مؤتمر Black Hat الأمني في لاس فيغاس اليوم أنه يمكن استغلال ثغرة أمنية في Windows Update لخفض إصدار Windows إلى الإصدارات الأقدم، مما يكشف عن عدد كبير من نقاط الضعف التاريخية التي يمكن استغلالها بعد ذلك للحصول على التحكم الكامل في النظام. وتقول مايكروسوفت إنها تعمل على عملية معقدة لتصحيح المشكلة بعناية، والتي يطلق عليها اسم “Downdate”.
يقول ألون ليفيف، الباحث في SafeBreach Labs الذي اكتشف الخلل، إنه بدأ البحث عن طرق هجوم محتملة لخفض المستوى بعد أن رأى حملة اختراق مذهلة من العام الماضي كانت تستخدم نوعًا من البرامج الضارة (المعروفة باسم “BlackLotus UEFI bootkit”) التي تعتمد على خفض مستوى مدير تمهيد Windows إلى إصدار قديم ضعيف. بعد التحقق من تدفق Windows Update، اكتشف Leviev طريقًا لخفض مستوى Windows بشكل استراتيجي – إما نظام التشغيل بأكمله أو فقط المكونات المختارة خصيصًا. ومن هناك، قام بتطوير هجوم إثبات المفهوم الذي استخدم هذا الوصول لتعطيل حماية Windows المعروفة باسم Virtualization-Based Security (VBS) واستهداف التعليمات البرمجية ذات الامتيازات العالية التي تعمل في “النواة” الأساسية للكمبيوتر.
“لقد وجدت استغلالًا للرجوع إلى إصدار سابق لا يمكن اكتشافه تمامًا لأنه يتم إجراؤه باستخدام Windows Update نفسه”، والذي يثق به النظام، كما قال ليفيف لـ WIRED قبل حديثه في المؤتمر. “فيما يتعلق بالاختفاء، لم أقم بإلغاء تثبيت أي تحديث – لقد قمت بشكل أساسي بتحديث النظام على الرغم من أنه تم تخفيضه إلى إصدار أقدم. لذا فإن النظام ليس على علم بالرجوع إلى إصدار سابق ولا يزال يبدو محدثًا.
تأتي إمكانية الرجوع إلى إصدار أقدم من Leviev من خلل في مكونات عملية Windows Update. لإجراء ترقية، يضع جهاز الكمبيوتر الخاص بك ما هو في الأساس طلب للتحديث في مجلد تحديث خاص. ثم يقدم هذا المجلد إلى خادم تحديث Microsoft، الذي يتحقق من سلامته ويؤكده. بعد ذلك، يقوم الخادم بإنشاء مجلد تحديث إضافي لك لا يمكن لأحد سواه التحكم فيه، حيث يضع التحديث وينهيه ويخزن أيضًا قائمة إجراءات – تسمى “pending.xml” – تتضمن خطوات خطة التحديث، مثل ما يلي: سيتم تحديث الملفات ومكان تخزين الكود الجديد على جهاز الكمبيوتر الخاص بك. عند إعادة تشغيل جهاز الكمبيوتر الخاص بك، فإنه يأخذ الإجراءات من القائمة ويقوم بتحديث البرنامج.
الفكرة هي أنه حتى لو تم اختراق جهاز الكمبيوتر الخاص بك، بما في ذلك مجلد التحديث الخاص بك، فلن يتمكن الممثل السيئ من اختطاف عملية التحديث لأن الأجزاء المهمة منها تحدث في مجلد التحديث الذي يتحكم فيه الخادم. نظر ليفيف عن كثب إلى الملفات المختلفة في كل من مجلد تحديث المستخدم ومجلد تحديث الخادم، ووجد في النهاية أنه على الرغم من عدم تمكنه من تعديل قائمة الإجراءات في مجلد تحديث الخادم مباشرة، إلا أن أحد المفاتيح التي تتحكم فيها – يسمى “PoqexecCmdline” – لم يكن مقفلاً. وقد أعطى هذا ليفيف طريقة للتعامل مع قائمة الإجراءات، ومعها عملية التحديث بأكملها، دون أن يدرك النظام أن أي شيء كان خاطئًا.
ومن خلال عنصر التحكم هذا، وجد ليفيف استراتيجيات لخفض مستوى المكونات الرئيسية المتعددة لنظام التشغيل Windows، بما في ذلك برامج التشغيل، التي تنسق مع الأجهزة الطرفية؛ مكتبات الارتباط الديناميكي، التي تحتوي على برامج النظام وبياناته؛ والأهم من ذلك، نواة NT، التي تحتوي على التعليمات الأساسية لتشغيل الكمبيوتر. يمكن إرجاع كل هذه العناصر إلى الإصدارات الأقدم التي تحتوي على ثغرات أمنية معروفة ومصححة. حتى أن ليفيف ألقى شبكة أوسع من هناك للعثور على إستراتيجيات لخفض مستوى مكونات أمان Windows بما في ذلك Windows Secure Kernel؛ كلمة مرور Windows ومكون التخزين Credential Guard؛ برنامج Hypervisor، الذي يقوم بإنشاء الأجهزة الافتراضية على النظام والإشراف عليها؛ و VBS، آلية أمان المحاكاة الافتراضية لنظام التشغيل Windows.
لا تتضمن هذه التقنية طريقة للوصول أولاً عن بعد إلى جهاز الضحية، ولكن بالنسبة للمهاجم الذي لديه بالفعل وصول أولي، فقد يؤدي ذلك إلى تمكين هياج حقيقي، لأن Windows Update هو آلية موثوقة ويمكن أن يعيد تقديم مجموعة واسعة من البرامج الخطيرة. الثغرات الأمنية التي تم إصلاحها بواسطة Microsoft على مر السنين. وتقول مايكروسوفت إنها لم تشهد أي محاولات لاستغلال هذه التقنية.
وقال متحدث باسم Microsoft لـ WIRED في تصريح صحفي: “نحن نعمل بنشاط على تطوير إجراءات التخفيف للحماية من هذه المخاطر مع اتباع عملية واسعة النطاق تتضمن تحقيقًا شاملاً، وتطوير التحديث عبر جميع الإصدارات المتأثرة، واختبار التوافق، لضمان أقصى قدر من حماية العملاء مع تقليل الاضطرابات التشغيلية إلى الحد الأدنى”. إفادة.
يتضمن جزء من إصلاح الشركة إلغاء ملفات نظام VBS الضعيفة، وهو ما يجب أن يتم بعناية وتدريجيًا، لأنه قد يسبب مشكلات في التكامل أو يعيد تقديم مشكلات أخرى غير ذات صلة تمت معالجتها مسبقًا بواسطة ملفات النظام نفسها.
يؤكد ليفيف على أن هجمات الرجوع إلى إصدار أقدم تمثل تهديدًا مهمًا لمجتمع المطورين، حيث يبحث المتسللون بلا نهاية عن مسارات للوصول إلى الأنظمة المستهدفة التي تكون خفية ويصعب اكتشافها.