• 20/08/2024
  •  https://dg.samrl.org/l?a5346 
    كيفية الحماية من هجمات تخفيض إصدار ويندوز؟
    الحقوق الرقمية |

    بواسطة: ستان كامينسكي | مدونة كاسبرسكي 

    تخفيض إصدار ويندوز Windows Downdate هو هجوم يمكنه التراجع عن التحديثات التي تم إجراؤها على نظام التشغيل لديك لإعادة إدخال الثغرات الأمنية والسماح للمهاجمين بالسيطرة الكاملة على نظامك. كيف يمكن التخفيف من المخاطر؟

    تحتوي جميع تطبيقات البرامج، بما في ذلك أنظمة التشغيل، على ثغرات أمنية، لذا فإن التحديثات المنتظمة لتصحيح هذه الثغرات تشكل حجر الزاوية في الأمن السيبراني. استهدف الباحثون الذين اخترعوا هجوم Windows Downdate آلية التحديث هذه ذاتها، بهدف التراجع خلسة عن نظام Windows المحدث بالكامل إلى إصدار أقدم يحتوي على ملفات وخدمات معرضة للخطر. وهذا يجعل النظام عُرضة لاستغلالات معروفة واختراقات عميقة المستوى - بما في ذلك المشرف الافتراضي والنواة الآمنة. والأسوأ من ذلك، أن عمليات التحديث القياسية وفحوصات صحة النظام ستبلغ بأن كل شيء محدث وسليم.

    آلية الهجوم
    في الواقع، اكتشف الباحثون ثغرتين منفصلتين بآليات تشغيل مختلفة قليلاً. تعتمد إحدى الثغرتين - التي تم تعيين معرف CVE-2024-21302 لها واسمها Downdate - على خلل في عملية تثبيت التحديث: يتم التحكم في مكونات التحديث التي تم تنزيلها وحمايتها من التعديل وتوقيعها رقميًا، ولكن في إحدى مراحل التثبيت الوسيطة (بين عمليات إعادة التشغيل)، تقوم عملية التحديث بإنشاء ملف يحتوي على قائمة بالإجراءات المخطط لها (pending.xml) ثم استخدامه. إذا تمكن المهاجمون من إنشاء نسختهم الخاصة من هذا الملف ثم إضافة معلومات عنه إلى السجل، فستقوم خدمة Windows Modules Installer (TrustedInstaller) بتنفيذ التعليمات الموجودة فيه عند إعادة التشغيل.

    في الواقع، يتم التحقق من محتويات ملف pending.xml، ولكن يتم ذلك أثناء مراحل التثبيت السابقة — ولا يقوم TrustedInstaller بإعادة التحقق منه. بالطبع، من المستحيل كتابة أي شيء تريده في الملف وتثبيت ملفات عشوائية بهذه الطريقة — نظرًا لأنه يجب توقيعها بواسطة Microsoft، ولكن استبدال ملفات النظام بملفات أقدم طورتها Microsoft أمر ممكن تمامًا. يمكن أن يؤدي هذا إلى إعادة تعريض النظام لثغرات تم تصحيحها منذ فترة طويلة — بما في ذلك الثغرات الحرجة. تتطلب إضافة المفاتيح الضرورية المتعلقة بملف pending.xml إلى السجل امتيازات المسؤول، وبعد ذلك يجب بدء إعادة تشغيل النظام. ومع ذلك، فهذه هي القيود المهمة الوحيدة. لا يتطلب هذا الهجوم امتيازات مرتفعة (حيث يقوم Windows بتعتيم الشاشة ويطلب من المسؤول الحصول على إذن إضافي)، ولن تقوم معظم أدوات الأمان بتمييز الإجراءات التي تم تنفيذها أثناء الهجوم على أنها مشبوهة.

    تسمح الثغرة الأمنية الثانية — CVE-2024-38202 — للمهاجم بالتلاعب بمجلد Windows.old، حيث يخزن نظام التحديث تثبيت Windows السابق. ورغم أن تعديل الملفات في هذا المجلد يتطلب امتيازات خاصة، إلا أن المهاجم الذي يتمتع بحقوق المستخدم العادية يمكنه إعادة تسمية المجلد وإنشاء Windows.old جديد من البداية ووضع إصدارات قديمة ومعرضة للخطر من ملفات نظام Windows فيه. ثم يؤدي بدء استعادة النظام إلى إعادة Windows إلى التثبيت المعرض للخطر. هناك امتيازات معينة مطلوبة لاستعادة النظام، ولكنها ليست امتيازات المسؤول وتُمنح أحيانًا للمستخدمين العاديين.

    تجاوز VBS وسرقة كلمة المرور
    منذ عام 2015، تمت إعادة تصميم بنية Windows لمنع اختراق نواة Windows مما قد يؤدي إلى اختراق النظام بأكمله. يتضمن هذا مجموعة من التدابير المعروفة بشكل جماعي باسم الأمان القائم على المحاكاة الافتراضية (VBS) . من بين أمور أخرى، يتم استخدام المشرف الافتراضي للنظام لعزل مكونات نظام التشغيل وإنشاء نواة آمنة لإجراء العمليات الأكثر حساسية وتخزين كلمات المرور وما إلى ذلك.

    لمنع المهاجمين من تعطيل VBS، يمكن تكوين Windows لجعل هذا مستحيلًا - حتى مع حقوق المسؤول. الطريقة الوحيدة لتعطيل هذه الحماية هي إعادة تشغيل الكمبيوتر في وضع خاص وإدخال أمر لوحة المفاتيح. تسمى هذه الميزة قفل واجهة البرامج الثابتة القابلة للتوسعة الموحدة (UEFI). يتجاوز هجوم Windows Downdate هذا القيد أيضًا عن طريق استبدال الملفات بإصدارات معدلة وقديمة وضعيفة. لا يتحقق VBS من ملفات النظام للتأكد من حداثتها، لذلك يمكن استبدالها بإصدارات أقدم وضعيفة بدون علامات أو رسائل خطأ يمكن اكتشافها. أي أن VBS غير معطل من الناحية الفنية، لكن الميزة لم تعد تؤدي وظيفتها الأمنية.

    يتيح هذا الهجوم استبدال ملفات النواة الآمنة وبرنامج التشغيل الافتراضي بإصدارات عمرها عامين تحتوي على ثغرات أمنية متعددة يؤدي استغلالها إلى تصعيد الامتيازات. ونتيجة لذلك، يمكن للمهاجمين الحصول على أقصى امتيازات للنظام، والوصول الكامل إلى برنامج التشغيل الافتراضي وعمليات حماية الذاكرة، والقدرة على قراءة بيانات الاعتماد وكلمات المرور المشفرة وتجزئة NTLM بسهولة من الذاكرة (والتي يمكن استخدامها لتوسيع نطاق هجوم الشبكة).

    الحماية ضد التحديث
    تم إبلاغ شركة Microsoft بثغرات Downdate في فبراير 2024، ولكن لم يتم إصدار التفاصيل إلا في أغسطس كجزء من إصدارها الشهري Patch Tuesday. ثبت أن إصلاح الأخطاء مهمة صعبة محفوفة بالآثار الجانبية - بما في ذلك تعطل بعض أنظمة Windows. لذلك، بدلاً من التسرع في نشر تصحيح آخر، أصدرت Microsoft في الوقت الحالي بعض النصائح للتخفيف من المخاطر. وتشمل هذه ما يلي:

    تدقيق المستخدمين المصرح لهم بإجراء عمليات استعادة النظام والتحديث، وتقليل عدد هؤلاء المستخدمين، وإلغاء الأذونات حيثما أمكن.
    تنفيذ قوائم التحكم في الوصول ( ACL / DACL ) لتقييد الوصول إلى ملفات التحديث وتعديلها.
    تكوين مراقبة الأحداث للحالات التي يتم فيها استخدام الامتيازات المرتفعة لتعديل أو استبدال ملفات التحديث — يمكن أن يكون هذا مؤشراً على استغلال الثغرات الأمنية.
    وبالمثل، مراقبة تعديل واستبدال الملفات المرتبطة بنظام VBS الفرعي والنسخ الاحتياطية لملفات النظام.
    إن مراقبة هذه الأحداث باستخدام SIEM و EDR أمر بسيط نسبيًا. ومع ذلك، يمكن توقع نتائج إيجابية كاذبة، وبالتالي فإن التمييز بين نشاط مسؤول النظام الشرعي ونشاط المتسللين يقع في النهاية على عاتق فريق الأمن.

    لا ينطبق كل ما سبق على الأجهزة المادية فحسب، بل وأيضًا الأجهزة الافتراضية التي تعمل بنظام Windows في بيئات السحابة. بالنسبة للأجهزة الافتراضية في Azure، ننصح أيضًا بتتبع المحاولات غير المعتادة لتسجيل الدخول باستخدام بيانات اعتماد المسؤول. قم بتمكين المصادقة الثنائية وتغيير بيانات الاعتماد في حالة اكتشاف مثل هذه المحاولة.

    نصيحة أخرى أكثر صرامة: إلغاء امتيازات المسؤول للموظفين الذين لا يحتاجون إليها، وفرض على المسؤولين الحقيقيين (i) تنفيذ الإجراءات الإدارية فقط ضمن حساباتهم الخاصة، و(ii) استخدام حساب منفصل لأعمال أخرى.

    إصلاحات محفوفة بالمخاطر
    بالنسبة لأولئك الذين يبحثون عن مزيد من الأمان، تقدم Microsoft التحديث KB5042562 ، الذي يخفف من حدة CVE-2024-21302. مع تثبيت هذا التحديث، تتم إضافة الإصدارات القديمة من ملفات نظام VBS إلى قائمة الإلغاء ولا يمكن تشغيلها بعد الآن على جهاز كمبيوتر محدث. يتم تطبيق هذه السياسة (SkuSiPolicy.p7b) على مستوى UEFI، لذلك عند استخدامها، تحتاج إلى تحديث ليس فقط نظام التشغيل ولكن أيضًا نسخ احتياطي لوسائط التمهيد القابلة للإزالة. من المهم أيضًا أن تدرك أن العودة إلى التثبيتات الأقدم لنظام التشغيل Windows لن تكون ممكنة بعد الآن. علاوة على ذلك، يقوم التحديث بتنشيط ميزة سلامة رمز وضع المستخدم (UMCI) قسرًا ، والتي يمكن أن تسبب في حد ذاتها مشكلات في التوافق والأداء.

    بشكل عام، يُنصح المسؤولون بتقييم المخاطر بعناية ودراسة الإجراء والآثار الجانبية المحتملة له بعناية. وفي المستقبل، تعهدت شركة Microsoft بإصدار تصحيحات وتدابير أمنية إضافية لجميع الإصدارات ذات الصلة من Windows — حتى Windows 10، الإصدار 1507، وWindows Server 2016.


  •  
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير