أظهرت دراسة بحثية جديدة عُرضت اليوم في مؤتمر Black Hat للأمن في لاس فيجاس أن ثغرة أمنية في برنامج Windows Update يمكن استغلالها لخفض مستوى نظام التشغيل Windows إلى إصدارات أقدم، مما يكشف عن مجموعة من الثغرات الأمنية التاريخية التي يمكن استغلالها بعد ذلك للسيطرة الكاملة على النظام. وتقول شركة مايكروسوفت إنها تعمل على عملية معقدة لإصلاح هذه المشكلة بعناية، والتي أطلق عليها اسم “Downdate”.
يقول ألون ليفيف، الباحث في مختبرات SafeBreach الذي اكتشف الخلل، إنه بدأ البحث عن طرق محتملة لشن هجوم تخفيض الإصدار بعد أن رأى أن حملة اختراق مذهلة من العام الماضي كانت تستخدم نوعًا من البرامج الضارة (المعروفة باسم “BlackLotus UEFI bootkit”) والتي تعتمد على تخفيض إصدار مدير تمهيد Windows إلى إصدار قديم معرض للخطر. بعد فحص تدفق تحديث Windows، اكتشف ليفيف مسارًا لتخفيض إصدار Windows بشكل استراتيجي – إما نظام التشغيل بالكامل أو فقط مكونات مختارة على وجه التحديد. ومن هناك، طور هجومًا لإثبات المفهوم استخدم هذا الوصول لتعطيل حماية Windows المعروفة باسم Virtualization-Based Security (VBS) واستهداف التعليمات البرمجية عالية الامتيازات التي تعمل في “نواة” الكمبيوتر الأساسية.
“لقد وجدت ثغرة أمنية لا يمكن اكتشافها على الإطلاق لأنها تتم باستخدام Windows Update نفسه”، هذا ما قاله ليفييف لـ WIRED قبل حديثه في المؤتمر. “من حيث عدم الكشف، لم أقم بإلغاء تثبيت أي تحديث – لقد قمت بتحديث النظام بشكل أساسي على الرغم من أنه تم تخفيض إصداره. لذا فإن النظام لا يدرك تخفيض إصداره ويبدو أنه لا يزال محدثًا.”
إن قدرة ليفيف على تخفيض إصدار نظام التشغيل تأتي من خلل في مكونات عملية تحديث نظام التشغيل Windows. لإجراء ترقية، يضع جهاز الكمبيوتر الخاص بك ما هو في الأساس طلب تحديث في مجلد تحديث خاص. ثم يعرض هذا المجلد على خادم تحديث Microsoft، الذي يتحقق من سلامته ويؤكدها. بعد ذلك، يقوم الخادم بإنشاء مجلد تحديث إضافي لك لا يستطيع أحد غيره التحكم فيه، حيث يضع التحديث وينهيه ويخزن أيضًا قائمة إجراءات – تسمى “pending.xml” – تتضمن خطوات خطة التحديث، مثل الملفات التي سيتم تحديثها ومكان تخزين الكود الجديد على جهاز الكمبيوتر الخاص بك. عند إعادة تشغيل جهاز الكمبيوتر الخاص بك، فإنه يأخذ الإجراءات من القائمة ويقوم بتحديث البرنامج.
الفكرة هي أنه حتى لو تعرض جهاز الكمبيوتر الخاص بك، بما في ذلك مجلد التحديث، للخطر، فلن يتمكن أي مجرم من اختطاف عملية التحديث لأن الأجزاء الحاسمة منها تحدث في مجلد التحديث الذي يتحكم فيه الخادم. ومع ذلك، نظر ليفييف عن كثب إلى الملفات المختلفة في كل من مجلد التحديث الخاص بالمستخدم ومجلد التحديث الخاص بالخادم، ووجد في النهاية أنه على الرغم من أنه لا يستطيع تعديل قائمة الإجراءات في مجلد التحديث الخاص بالخادم بشكل مباشر، إلا أن أحد المفاتيح التي تتحكم فيه – والتي تسمى “PoqexecCmdline” – لم يكن مقفلاً. أعطى هذا ليفييف طريقة للتلاعب بقائمة الإجراءات، ومعها عملية التحديث بأكملها، دون أن يدرك النظام أن هناك أي خطأ.
ومن خلال هذا التحكم، وجد ليفيف استراتيجيات لخفض مستوى العديد من المكونات الرئيسية لنظام التشغيل ويندوز، بما في ذلك برامج التشغيل، التي تنسق مع الأجهزة الطرفية؛ ومكتبات الارتباط الديناميكي، التي تحتوي على برامج النظام والبيانات؛ والأهم من ذلك، نواة NT، التي تحتوي على معظم التعليمات الأساسية لتشغيل الكمبيوتر. ويمكن خفض مستوى كل هذه إلى إصدارات أقدم تحتوي على ثغرات معروفة ومُصحَّحة. بل إن ليفيف ألقى بشبكة أوسع من هناك، للعثور على استراتيجيات لخفض مستوى مكونات أمان ويندوز بما في ذلك نواة Windows Secure؛ ومكون كلمة المرور والتخزين في ويندوز Credential Guard؛ والمشرف الافتراضي، الذي ينشئ ويشرف على الآلات الافتراضية على النظام؛ وVBS، آلية أمان المحاكاة الافتراضية في ويندوز.
لا تتضمن هذه التقنية طريقة للحصول أولاً على إمكانية الوصول عن بُعد إلى جهاز الضحية، ولكن بالنسبة للمهاجم الذي لديه بالفعل إمكانية الوصول الأولي، فقد تتيح له هذه التقنية شن هجوم حقيقي، لأن تحديث Windows هو آلية موثوقة للغاية ويمكنه إعادة تقديم مجموعة كبيرة من الثغرات الخطيرة التي تم إصلاحها بواسطة Microsoft على مر السنين. وتقول Microsoft إنها لم تشهد أي محاولات لاستغلال هذه التقنية.
وقال متحدث باسم مايكروسوفت في بيان لموقع WIRED: “نحن نعمل بشكل نشط على تطوير تدابير التخفيف من أجل الحماية من هذه المخاطر مع اتباع عملية مكثفة تتضمن تحقيقًا شاملاً وتطوير التحديثات عبر جميع الإصدارات المتأثرة واختبار التوافق، لضمان أقصى قدر من حماية العملاء مع تقليل الاضطراب التشغيلي”.
يتضمن جزء من إصلاح الشركة إلغاء ملفات نظام VBS المعرضة للخطر، وهو الأمر الذي يجب أن يتم بعناية وتدريجياً، لأنه قد يتسبب في حدوث مشكلات في التكامل أو إعادة تقديم مشكلات أخرى غير ذات صلة تم معالجتها مسبقًا بواسطة نفس ملفات النظام هذه.
وأكد ليفييف أن هجمات خفض الإصدار تشكل تهديدًا مهمًا يجب على مجتمع المطورين مراعاته، حيث يبحث المتسللون بلا نهاية عن مسارات إلى أنظمة الهدف تكون خفية ويصعب اكتشافها.