Μια έρευνα αποκάλυψε ότι το blocklist κακόβουλων drivers της Microsoft δεν ενημερωνόταν όπως αναμενόταν.
Δείτε πώς μπορείτε να βεβαιωθείτε ότι δεν αφήνετε κακούς παράγοντες να αποκτήσουν πρόσβαση στο σύστημά σας μέσω αυτών των προσεκτικά κατασκευασμένων εργαλείων επίθεσης.
Για πολλά χρόνια, οι εισβολείς έχουν χρησιμοποιήσει διάφορους τρόπους για να μπουν στα συστήματά μας. Από το phishing έως την εξαπάτησή μας για να κάνουμε κλικ σε ιστότοπους, εάν ένας εισβολέας μπορεί να εισάγει τον κώδικά του στα συστήματά μας, δεν είναι πλέον τα δικά μας συστήματα. Οι εισβολείς θα επενδύσουν ακόμη και χρόνο, ενέργεια και έξοδα για να σχεδιάσουν τα κακόβουλα drivers μέσω του Hardware Compatibility Program των Windows, προκειμένου να αποκτήσουν πρόσβαση στα μηχανήματα μας. Η διασφάλιση ότι αυτά τα κακόβουλα προγράμματα οδήγησης είναι αποκλεισμένα είναι μια βασική μέθοδος για την προστασία των συστημάτων.
Η Microsoft έχει διαφημίσει εδώ και καιρό ένα μέσο ενημέρωσης για αυτό το blocklist κακόβουλων drivers στα συστήματά μας και η ιδέα ήταν έγκυρη: η χρήση ρυθμίσεων και hardware ασφαλείας στον υπολογιστή, η ενεργοποίηση του hypervisor-protected code integrity (HVCI) υποτίθεται ότι προστατεύει τα συστήματα από κακόβουλα προγράμματα οδήγησης. Οι επιτιθέμενοι έχουν χρησιμοποιήσει τέτοιες επιθέσεις στο παρελθόν και κυμαίνονται από RobbinHood, Uroburos, Derusbi, GrayFish και Sauron, έως εκστρατείες του παράγοντα απειλών STRONTIUM. Όπως επεσήμανε ένα ιστολόγιο της Microsoft το 2020, εάν ένας υπολογιστής είχε ενεργοποιημένο το HVCI, θα μπορούσε να αμυνθεί έναντι ευάλωτων και κακόβουλων προγραμμάτων οδήγησης. Στην ανάρτηση blog, σημειώθηκε ότι «Οι ερευνητικές ομάδες απειλών της Microsoft παρακολουθούν συνεχώς το οικοσύστημα απειλών και ενημερώνουν τη λίστα των προγραμμάτων οδήγησης που περιλαμβάνονται στο drivers blocklist που παρέχεται από τη Microsoft. Αυτό το blocklist προωθείται στις συσκευές μέσω της ενημέρωσης των Windows.»
Δείτε επίσης: Windows 10 KB5018482: Φέρνει 19 διορθώσεις και βελτιώσεις
Υπάρχει μια συχνά χρησιμοποιούμενη φράση στην ασφάλεια στον κυβερνοχώρο: «εμπιστεύσου αλλά επαλήθευσε». Όταν ο επεξεργαστής ασφαλείας της Ars Technica, Dan Goodin, αποφάσισε να επαληθεύσει αυτήν τη ρύθμιση, άρχισε να ψάχνει για να επιβεβαιώσει ότι το blocklist κακόβουλων προγραμμάτων οδήγησης όντως ενημερωνόταν. Περιμένοντας να ανακαλύψει ότι ήταν, αντίθετα διαπίστωσε ότι δεν ήταν. Ο Goodin επικοινώνησε με τον ερευνητή Will Dornmann, Senior Vulnerability Analyst στο ANALYGENCE, και επιβεβαίωσε ότι αυτή η δυνατότητα δεν λειτουργούσε όπως αναμενόταν. Οι Goodin και Dormann διαπίστωσαν ότι ακόμη και με ενεργοποιημένο το HVCI, η λίστα ευάλωτων προγραμμάτων οδήγησης δεν ενημερωνόταν όπως έπρεπε. Αντίθετα, στα Windows 10, δεν είχε λάβει ενημερώσεις από το 2019.
Η Microsoft δημοσίευσε πρόσφατα ότι με την ενημέρωση των Windows 11 22H2, η ρύθμιση του blocklist ευάλωτων drivers είναι ενεργοποιημένη από προεπιλογή. Δημοσίευσαν ότι: «το drivers blocklist ενημερώνεται με κάθε νέα σημαντική έκδοση των Windows. Σκοπεύουμε να ενημερώσουμε το τρέχον blocklist για πελάτες εκτός των Windows 11 σε μια επερχόμενη έκδοση και περιστασιακά θα δημοσιεύουμε μελλοντικές ενημερώσεις μέσω της τακτικής εξυπηρέτησης των Windows.» Έτσι, τελικά παραδέχτηκαν ότι δεν εξυπηρετούνταν οι χρήστες με τη διαδικασία ενημέρωσης της Microsoft όπως είχαμε υποθέσει.
Ως αποτέλεσμα της διαπίστωσης των Goodwin και Dormann ότι το drivers blocklist δεν ενημερωνόταν, η Microsoft παρείχε έναν οδηγό για το πώς να ανανεώσει κανείς το blocklist με μη αυτόματο τρόπο. Επομένως, εάν έχετε βασιστεί στην λειτουργικότητα του drivers blocklist, σας συνιστούμε να προσθέσετε τη μη αυτόματη ενημέρωση αυτού του blocklist των drivers στη λίστα υποχρεώσεών σας έως ότου η Microsoft εντάξει μια διαδικασία σε τακτική βάση για την ενημέρωση αυτού του drivers blocklist .
Όπως αναφέρει η Microsoft, μπορείτε να εκτελέσετε τα ακόλουθα βήματα για να ενημερώσετε το drivers blocklist:
- Κάντε λήψη του εργαλείου ανανέωσης πολιτικής WDAC. Επιλέξτε την έκδοση που θα χρειαστείτε για την δική σας έκδοση των Windows (εκδόσεις 32 bit, 64 bit ή ARM).
- Κάντε λήψη και εξαγωγή (extract) των ευάλωτων binaries του drivers blocklist.
- Επιλέξτε είτε την έκδοση μόνο για έλεγχο είτε την επιβεβλημένη έκδοση και μετονομάστε το αρχείο σε SiPolicy.p7b.
- Αντιγράψτε το SiPolicy.p7b στο %windir%\system32\CodeIntegrity.
- Εκτελέστε το εργαλείο ανανέωσης πολιτικής WDAC που κατεβάσατε στο Βήμα 1 παραπάνω για να ενεργοποιήσετε και να ανανεώσετε όλες τις πολιτικές WDAC στον υπολογιστή σας.
Για να ελέγξετε ότι η πολιτική εφαρμόστηκε με επιτυχία στον υπολογιστή σας:
- Ανοίξτε το Event Viewer.
- Περιηγηθείτε στο Applications and Services Logs – Microsoft – Windows – CodeIntegrity – Operational.
- Επιλέξτε Filter Current Log.
- Αντικαταστήστε το «<All Event IDs>» με το «3099» και επιλέξτε ΟΚ.
Αναζητήστε ένα συμβάν 3099 όπου το PolicyNameBuffer και το PolicyIdBuffer ταιριάζουν με το όνομα και το ID στις ρυθμίσεις PolicyInfo που βρίσκονται στο κάτω μέρος του drivers blocklist WDAC Policy XML.
Δείτε επίσης: Microsoft: Επιδιορθώνει τις αποτυχίες TLS handshake στην τελευταία ενημέρωση των Windows
Θα πρέπει να μπορείτε να δημιουργήσετε ένα script PowerShell για να αναπτύξετε τις ενημερωμένες τιμές στο δίκτυό σας χρησιμοποιώντας παρόμοια εργαλεία για τον καθορισμό των πολιτικών WDAC στο δίκτυό σας. Θα χρειαστεί να κατεβάσετε το εργαλείο ανανέωσης πολιτικών WDAC σε όλα τα endpoints σας, προκειμένου να γίνει ενημέρωση σε όλο το δίκτυό σας.
Ο Will Dormann παρέχει το δικό του ανεξάρτητο εργαλείο για την ενημέρωση της λίστας προγραμμάτων οδήγησης. Για αυτό, εκτελέστε τα ακόλουθα βήματα:
- Ανοίξτε το CMD.
- Πληκτρολογήστε powershell_ise.exe για να ξεκινήσετε το Powershell ISE.
- Από έναν σύνδεσμο Github, αντιγράψτε και επικολλήστε (CTRL+A, CTRL+c και CTRL+v) στο Powershell ISE.
- Πληκτρολογήστε ApplyWDACPpolicy -auto -enforce και πατήστε enter.
- Όπως πάντα, βεβαιωθείτε ότι το δοκιμάζετε σε έναν υπολογιστή προτού τον διαθέσετε σε ολόκληρη την εταιρεία.
Ενώ όσοι από εμάς διαθέτουν ασφαλή δίκτυα θέλουμε να επιβάλουμε αυτό το drivers blocklist, είναι πάντα συναρπαστικό να βρίσκουμε παραδείγματα ατόμων που απενεργοποιούν σκόπιμα αυτήν τη δυνατότητα. Χαρακτηριστικό παράδειγμα είναι η κοινότητα των gamers, που θέλει να ξεπεράσει κακόβουλα blocks προγραμμάτων οδήγησης. Η χρήση των cheat στο gaming αποκλείεται από τα Windows 11 22H2, δείχνοντας ξεκάθαρα ότι, τουλάχιστον για αυτήν την πλατφόρμα, το κακόβουλο βοηθητικό πρόγραμμα block προγραμμάτων οδήγησης λειτουργεί. Όπως αναφέρουν και οι ίδιοι το «HKLM\System\CurrentControlSet\Control\CI\Config\, στη συνέχεια δημιουργήστε ένα νέο DWORD με το όνομα VulnerableDriverBlocklistEnable και ορίστε το σε 0» θα παρακάμψει το block κακόβουλου προγράμματος οδήγησης.
Ίσως θέλετε να παρακολουθείτε το registry key για να διασφαλίσετε ότι οι κακόβουλοι παράγοντες δεν θα απενεργοποιήσουν αυτόν τον αποκλεισμό και θα σας αφήσουν εκτεθειμένους. Εάν η επιχείρησή σας δεν έχει ήδη μια λύση για την προληπτική παρακολούθηση των αλλαγών αρχείων και registry, μπορείτε να εξετάσετε το ενδεχόμενο να χρησιμοποιήσετε εργαλεία όπως το ProcMon ή το Process Monitor για να ελέγξετε τις αλλαγές που έγιναν με την πάροδο του χρόνου. Ωστόσο, δεν συνιστάται η εκτέλεση του για παρακολούθηση 24/7. Για μακροπρόθεσμη αναθεώρηση των αλλαγών στο σύστημα, προτείνουμε την λειτουργία του Sysmon.
«Το System Monitor (Sysmon) είναι μια υπηρεσία συστήματος των Windows και ένα driver συσκευής που, μόλις εγκατασταθεί σε ένα σύστημα, παραμένει σταθερό στις επανεκκινήσεις του συστήματος για την παρακολούθηση και την καταγραφή της δραστηριότητας του συστήματος στο Event log των Windows. Παρέχει λεπτομερείς πληροφορίες σχετικά με τις δημιουργίες διεργασιών, τις συνδέσεις δικτύου και τις αλλαγές στον χρόνο δημιουργίας αρχείων.» Συνιστώ να το εγκαταστήσετε σε servers που έχουν πρόσβαση στο διαδίκτυο και σε οποιονδήποτε σταθμό εργασίας που υπόκειται σε αυξημένο κίνδυνο. Μπορείτε επίσης να εξετάσετε το ενδεχόμενο να το αναπτύξετε σε όλους τους σταθμούς εργασίας, καθώς η επιβάρυνση του εργαλείου Sysmon που εκτελείται στο παρασκήνιο είναι ελάχιστη.
Η βασική σκέψη που πρέπει να έχετε κατά νου πίσω από κάθε πρόγραμμα ασφάλειας προμηθευτή είναι να εμπιστεύεστε αλλά να επαληθεύετε. Φαίνεται ότι ακόμη και η Microsoft δεν κατανοεί πλήρως τα δικά της συστήματα. Είναι επιτακτική ανάγκη να κάνουμε ό,τι μπορούμε για να τα κατανοήσουμε καλύτερα.
Σε μια καθυστερημένη αλλαγή, στις 26 Οκτωβρίου, η Microsoft κυκλοφόρησε σε μια ενημέρωση προεπισκόπησης ένα ενημερωμένο drivers blocklist. Όπως σημειώνεται στο KB5020779, αυτή η έκδοση προεπισκόπησης αντιμετωπίζει ένα πρόβλημα που ενημερώνει μόνο το drivers blocklist για πλήρεις εκδόσεις λειτουργικού συστήματος Windows. Όταν εγκαταστήσετε αυτήν την έκδοση, το drivers blocklist σε παλαιότερες εκδόσεις λειτουργικού συστήματος θα είναι ίδιo με τo drivers blocklist στα Windows 11, έκδοση 21H2 και νεότερες εκδόσεις. Αυτή η επιδιόρθωση θα ενσωματωθεί στις ενημερώσεις ασφαλείας του Νοεμβρίου που θα κυκλοφορήσουν στις 8 Νοεμβρίου 2022 και, ως εκ τούτου, η μη αυτόματη ενημέρωση χρησιμοποιώντας αυτήν τη δυσκίνητη διαδικασία δεν θα χρειάζεται πλέον. Είναι σαφές ότι η Microsoft κατάλαβε ότι αυτή η διαδικασία δεν ήταν αποδεκτή για να προστατεύονται οι μηχανές μας.
Πηγή: csoonline.com
