हैकर्स रूटकिट बनाने और कंप्यूटर से समझौता करने के लिए विंडोज कर्नेल स्तर को कम करते हैं
हैकर्स ड्राइवर हस्ताक्षर प्रवर्तन जैसी महत्वपूर्ण सुरक्षा सुविधाओं को बायपास करने के लिए विंडोज कर्नेल घटकों को डाउनग्रेड करने के लिए तकनीकों का उपयोग कर रहे हैं। इसके माध्यम से, वे पूरी तरह से अपडेटेड सिस्टम पर रूटकिट तैनात कर सकते हैं, जिससे विंडोज कंप्यूटर पर सूचना सुरक्षा को खतरा हो सकता है, जिसका एहसास बहुत कम उपयोगकर्ताओं को होता है।
सेफब्रीच के सुरक्षा शोधकर्ता एलोन लेविएव ने एक भेद्यता की खोज की जो विंडोज़ पर अपडेट को हाईजैक करने की अनुमति देती है। हालाँकि माइक्रोसॉफ्ट ने दावा किया है कि यह मुद्दा परिभाषित सुरक्षा सीमाओं को पार नहीं करता है, वास्तविकता अभी भी हैकर्स द्वारा घुसपैठ की संभावना दिखाती है।
लेविएव ने विंडोज सिस्टम पर कस्टम डाउनग्रेड बनाने के लिए विंडोज डाउनडेट टूल बनाया, जो डीएलएल, ड्राइवर और एनटी कर्नेल जैसे घटकों के माध्यम से खोजी गई कमजोरियों को उजागर करता है। यह निश्चित कमजोरियों को हमलों के प्रति संवेदनशील बना देता है, जिससे पता चलता है कि कर्नेल की सुरक्षा खतरे में बनी हुई है।
ये हमले ड्राइवर हस्ताक्षर प्रवर्तन (डीएसई) को बायपास कर सकते हैं, अहस्ताक्षरित कर्नेल ड्राइवरों को अपलोड करने और रूटकिट को तैनात करने की क्षमता को उजागर कर सकते हैं। यह न केवल सुरक्षा उपायों को अक्षम करता है बल्कि हमलावर गतिविधि को भी छुपाता है, जिससे घुसपैठ का पता लगाना मुश्किल हो जाता है।
अद्यतन प्रक्रिया के माध्यम से विंडोज कर्नेल घटकों को डाउनग्रेड करके, हैकर्स डीएसई कमजोरियों का फायदा उठा सकते हैं और रूटकिट मैलवेयर को प्रभावी ढंग से तैनात कर सकते हैं। यह पूरी तरह से अपडेट किए गए विंडोज सिस्टम पर अप्रत्याशित हमलों के लिए एक संभावित रास्ता खोलता है।
हैकर्स के पास अब ड्राइवर हस्ताक्षर प्रवर्तन जैसी महत्वपूर्ण सुरक्षा सुविधाओं को बायपास करने के प्रयास में विंडोज कर्नेल घटकों को ख़राब करने की क्षमता है। इस तकनीक के माध्यम से, वे पूरी तरह से अद्यतन सिस्टम पर रूटकिट तैनात कर सकते हैं। इसका मतलब यह है कि विंडोज़ कंप्यूटर के लिए सुरक्षा जोखिम संभावित रूप से बड़े खतरे हैं जिन्हें बहुत कम उपयोगकर्ता महसूस कर सकते हैं।
विशेष रूप से, ये हमले Windows अद्यतन प्रक्रिया को नियंत्रित करके हो सकते हैं। हैकर्स ऑपरेटिंग सिस्टम की अपडेट स्थिति को बदले बिना अपडेटेड कंप्यूटर में पुराने सॉफ्टवेयर घटकों को पेश कर सकते हैं, जिनमें ऑपरेटिंग सिस्टम द्वारा तय की गई कमजोरियां होती हैं। यह आधुनिक प्रणालियों में एक गंभीर सुरक्षा अंतर पैदा करता है जहां उपयोगकर्ताओं को भरोसा होता है कि उनके पास सबसे अच्छी सुरक्षा है।
विंडोज़ को डाउनग्रेड करें
सेफब्रीच के सुरक्षा शोधकर्ता एलोन लेविएव ने इस महत्वपूर्ण मुद्दे पर रिपोर्ट की और अपडेट अपहरण भेद्यता की खोज में मदद की। हालाँकि Microsoft ने इन चिंताओं को यह कहते हुए खारिज कर दिया है कि समस्या एक परिभाषित सुरक्षा सीमा को पार नहीं करती है, प्रथा यह है कि केवल एक हमलावर को प्रशासनिक अधिकारों के साथ कर्नेल कोड निष्पादन प्राप्त करने में सक्षम होना चाहिए जिससे घुसपैठ संभव हो सके।
इस वर्ष के ब्लैकहैट और DEFCON सुरक्षा सम्मेलनों में, लेविएव ने प्रदर्शित किया कि यह हमला व्यवहार्य और अधिक गंभीर है, अभी तक पूरी तरह से ठीक नहीं हुआ है, जो आगे और गिरावट या अप्रत्याशित हमलों का द्वार खोलता है। विंडोज डाउनडेट नामक टूल के साथ, लेविएव उपयोगकर्ताओं को कस्टम डाउनग्रेड बनाने की अनुमति देता है जो एक लक्ष्य प्रणाली को उजागर करता है जो पूरी तरह से अद्यतन प्रतीत होता है लेकिन वास्तव में कमजोरियों के प्रति संवेदनशील है जो पहले डीएलएल, ड्राइवर और एनटी कर्नेल जैसे विरासत घटकों के माध्यम से खोजी गई हैं।
लेविएव ने कहा, “मैं पूरी तरह से पैच किए गए विंडोज कंप्यूटर को पिछली कमजोरियों के प्रति संवेदनशील बनाने, पैच की गई कमजोरियों को पैच रहित बनाने और दुनिया के किसी भी विंडोज कंप्यूटर पर ‘पूरी तरह से पैच किए गए’ ‘पैचिंग’ शब्द को व्यावहारिक रूप से अर्थहीन बनाने में सक्षम था।”
हालाँकि हाल के वर्षों में कर्नेल सुरक्षा में उल्लेखनीय सुधार हुआ है, लेविएव अभी भी ड्राइवर हस्ताक्षर प्रवर्तन (डीएसई) सुविधा को बायपास करने में सक्षम था, यह सुझाव देते हुए कि हमलावर अहस्ताक्षरित कर्नेल ड्राइवर अपलोड कर सकते हैं, जिससे रूटकिट मैलवेयर तैनात हो सकता है। यह न केवल सुरक्षा उपायों को अक्षम करता है बल्कि हमलावर गतिविधि को भी छुपाता है जिससे सिस्टम में घुसपैठ का पता लगाया जा सकता है।
“हाल के वर्षों में, कर्नेल सुरक्षा में महत्वपूर्ण सुधार हुए हैं। हालाँकि, यह मानते हुए भी कि प्रशासनिक अधिकारों के साथ समझौता किया जा सकता है, हमेशा ऐसी खामियाँ होती हैं जो हमलावरों के लिए चीजों को आसान बनाती हैं” – लेविएव ने जोर दिया।
लेविएव ने अपने कारनामे को “ItsNotASecurityBoundary” DSE बाईपास का नाम दिया है, क्योंकि यह अपरिवर्तनीय फ़ाइल छेड़छाड़ कमजोरियों पर निर्भर करता है। यह विंडोज़ में कमजोरियों का एक नया वर्ग है, जिसे इलास्टिक के गेब्रियल लैंडौ ने कर्नेल अनुमतियों के साथ मनमाने कोड निष्पादन को प्राप्त करने के एक तरीके के रूप में वर्णित किया है। लैंडौ द्वारा इस भेद्यता की रिपोर्ट करने के बाद, माइक्रोसॉफ्ट ने प्रशासकों से कर्नेल तक विशेषाधिकारों की वृद्धि को रोकने के लिए “इट्सनॉटएसिक्योरिटीबाउंडरी” भेद्यता को तुरंत ठीक कर दिया। हालाँकि, इस भेद्यता को ठीक करना अभी भी लेविएव द्वारा बताए गए गिरावट के हमलों से पूरी तरह से रक्षा नहीं करता है।
कर्नेल को लक्ष्य करता है
लेविएव द्वारा आज प्रकाशित नए शोध से पता चलता है कि कैसे एक हमलावर डीएसई सुरक्षा को बायपास करने के लिए विंडोज अपडेट प्रक्रिया का फायदा उठा सकता है। यह पैच किए गए घटक को अपग्रेड करके किया जा सकता है, यहां तक कि पूरी तरह से अपडेट किए गए विंडोज 11 सिस्टम पर भी। हमला ‘ci.dll’ फ़ाइल को बदलने के कारण संभव है, जो DSE को निष्पादित करने के लिए ज़िम्मेदार है, एक अप्रकाशित संस्करण के साथ जो सभी ड्राइवर हस्ताक्षरों को अनदेखा करता है। यह तकनीक अनिवार्य रूप से विंडोज़ सुरक्षा जाँचों को प्रभावी ढंग से हरा देती है।
यह प्रतिस्थापन प्रक्रिया Windows अद्यतन प्रक्रिया के अंतर्गत प्रारंभ होती है। यह सब डबल रीड कंडीशन का फायदा उठाकर होता है, जहां विंडोज द्वारा ci.dll के नवीनतम संस्करण की जांच शुरू करने के तुरंत बाद ci.dll की एक कमजोर प्रतिलिपि मेमोरी में लोड हो जाती है।
यह तथाकथित “रेस विंडो” इवेंट कमजोर ci.dll को लोड करने की अनुमति देता है जब विंडोज़ अभी भी सोचता है कि उसने फ़ाइल को सत्यापित कर लिया है, जिससे अहस्ताक्षरित ड्राइवरों को कर्नेल पर अपलोड करने की अनुमति मिलती है। यह न केवल विंडोज़ की अपडेट प्रक्रिया में खामी दिखाता है, बल्कि हमलावरों के लिए दुर्भावनापूर्ण कोड तैनात करने का संभावित रास्ता भी खोलता है।
नीचे प्रस्तुत वीडियो में, लेविएव ने दिखाया कि कैसे उन्होंने एक डिग्रेडेशन हमले के माध्यम से डीएसई पैच को बहाल किया और विंडोज 11 23H2 चलाने वाले पूरी तरह से पैच किए गए कंप्यूटर पर घटक का शोषण किया। वह माइक्रोसॉफ्ट की वर्चुअलाइजेशन-आधारित सुरक्षा (वीबीएस) को अक्षम करने या बायपास करने के तरीकों का वर्णन करने में भी संकोच नहीं करते हैं। यह एक सुविधा है जो विंडोज़ के लिए एक अलग वातावरण बनाती है जो आवश्यक संसाधनों और सुरक्षा संपत्तियों जैसे सुरक्षित कर्नेल कोड अखंडता तंत्र (skci.dll) और प्रमाणित उपयोगकर्ता क्रेडेंशियल की सुरक्षा करती है।
लेख की सामग्री की तालिका
Discover more from 24 Gadget - Review Mobile Products
Subscribe to get the latest posts to your email.
