Yeni yapılan bir araştırma, saldırganların Windows sürücü imza doğrulamasını (Driver Signature Enforcement – DSE) aşarak, imzasız sürücüler yüklemelerine ve kernel rootkit’ler yerleştirmelerine olanak tanıyan bir güvenlik açığını ortaya açığa çıkardı.
Bu güvenlik açığı, Windows Update sürecini ele geçirip sistemde eski ve savunmasız bileşenleri geri yükleyerek sağlanıyor; bu durum güncel olan bir sistemi saldırılara açık hale getiriyor.
Öne Çıkan Güvenlik Açıkları ve Teknikler
- Downgrade Attack: Bu saldırı, yamalanmış bir sistemin bile eski güvenlik açıklarına karşı savunmasız kalmasına neden olabilecek özelleştirilmiş bir sürüm düşürme saldırısı olarak karışımıza çıkıyor. Bu yöntemle güncellenmiş Windows bileşenleri, geçmişteki açıklarla yüklü eski sürümlerle değiştirilebiliyor.
- Kernel’e Yetkisiz Erişim Sağlama: Başka bir yöntem, Windows’un ci.dll dosyasını eski, imza doğrulama yapmayan bir sürümle değiştirme yoluyla mümkün oluyor. Bu dosya, imzasız sürücülerin yüklenmesine karşı koruma sağlayan bir bileşen. Windows Update’in çift okuma mekanizmasındaki bir açıklıktan faydalanılarak eski sürüm dosya doğrulama sürecini atlatabiliyor.
- Virtualization-based Security (VBS) Korumasını Devre Dışı Bırakma: VBS, kernel bileşenlerini izole ederek koruma sağlar. Ancak, VBS tam güvenlik modunda yapılandırılmamışsa, saldırganlar SecureKernel.exe gibi dosyaları kötü amaçlı sürümlerle değiştirerek bu korumayı devre dışı bırakabiliyor.
Çözüm Önerileri ve Güvenlik İhtiyaçları
Uzmanlar, endpoint güvenlik araçlarının, sürüm düşürme süreçlerini daha iyi izlemeleri gerektiğini vurguluyor. Bu saldırılar, yüksek yetki gerektirse de, tüm güncellenmiş sistemlerde bile güvenlik riskini artırıyor ve sürücü imza doğrulaması gibi güvenlik sınırlarını aşmak için yeni fırsatlar yaratıyor.