Атака "на понижение" (Downgrade Attack) - это техника уклонения от защиты, которую злоумышленники используют для намеренного снижения уровня безопасности системы, заставляя ее использовать более слабые протоколы, устаревшие версии программного обеспечения или менее безопасные конфигурации. Таким образом, атакующие могут использовать известные уязвимости, обходить современные средства защиты и выполнять вредоносные действия с минимальным сопротивлением. Эта техника особенно опасна, поскольку позволяет злоумышленникам ослаблять шифрование, отключать расширенные функции безопасности и избегать обнаружения средствами защиты, которые полагаются на современные средства защиты.
Что такое атака на понижение?
При атаке на понижение злоумышленники убеждают целевую систему принять более слабый протокол или алгоритм безопасности, чем тот, который они могут использовать. Злоумышленники обычно злоупотребляют обратной совместимостью системы, чтобы заставить ее использовать устаревшую или уязвимую версию.
Использование злоумышленниками атаки на понижение
Используя технику Downgrade Attack, злоумышленники обходят обновленные средства контроля безопасности и заставляют систему работать в менее безопасном режиме. Главной мишенью для таких манипуляций являются такие функции, как командные и скриптовые интерпретаторы, а также сетевые протоколы, которые при понижении уровня безопасности открывают возможности для атак типа «человек посередине» (MitM) или сетевого сниффинга.
В сценарии с командными интерпретаторами злоумышленники предпочитают работать с менее безопасными версиями интерпретаторов, такими как PowerShell. PowerShell версий 5 и выше включает в себя расширенные функции безопасности, такие как Script Block Logging (SBL), который записывает содержимое выполненных сценариев. Однако сообразительные злоумышленники могут попытаться выполнить предыдущую версию PowerShell, в которой отсутствует поддержка SBL. Этот метод не только позволяет им избежать обнаружения, но и ослабить защиту, выполняя вредоносные сценарии, которые в противном случае были бы отмечены и предотвращены более продвинутыми средствами контроля безопасности.
В контексте сетевых протоколов злоумышленники часто понижают уровень зашифрованных соединений до незащищенных аналогов, открывая сетевые данные открытым текстом. Например, они могут использовать переход от зашифрованного HTTPS-соединения к незащищенному HTTP-соединению. При этом злоумышленники нарушают конфиденциальность и целостность передаваемых данных.
Такое снижение уровня безопасности облегчает сетевой сниффинг, позволяя злоумышленнику перехватывать и анализировать конфиденциальную информацию, проходящую через сеть. Манипулируя уровнем безопасности сетевых протоколов, злоумышленники используют совместимость системы с менее безопасными вариантами, чтобы подорвать защиту, обеспечиваемую шифрованием. Например, уязвимость CVE-2023-48795 позволяет злоумышленникам провести атаку на протокол SSH с усечением префикса. Эта атака называется Terrapin Attack и приводит к снижению уровня безопасности соединений SSHv2 во время согласования расширений, вызывая MitM-атаку.
Один из ярких примеров связан с использованием уязвимостей в протоколе Secure Sockets Layer (SSL) и его преемнике Transport Layer Security (TLS). Злоумышленники используют слабые места в этих протоколах для принудительного перехода от более защищенных версий к старым, менее защищенным, что облегчает проведение таких атак, как известная атака POODLE (Padding Oracle On Downgraded Legacy Encryption).
В атаке POODLE злоумышленники используют понижение уровня безопасности SSL/TLS для проведения атаки «подстановочный оракул», что нарушает конфиденциальность зашифрованных данных.
Кроме того, эксплуатация менее защищенных версий сетевых протоколов проявляется в манипуляциях с протоколами Wi-Fi. Злоумышленники понижают уровень безопасности Wi-Fi соединения с более защищенного WPA3 (Wi-Fi Protected Access 3) до менее защищенного WPA2 (Wi-Fi Protected Access 2) или даже WEP (Wired Equivalent Privacy). Это не только подвергает сеть потенциальному несанкционированному доступу, но и позволяет злоумышленникам использовать известные уязвимости, связанные с понижением класса протокола, например, подверженность WEP атакам со взломом ключей. Например, уязвимость Dragonblood, обнаруженная в протоколе WPA3, позволяет злоумышленникам провести автономную атаку по словарю, отправив запрос на понижение до уровня WPA2 во время 4-стороннего рукопожатия.
В августе 2024 года CISA сообщила, что иранская APT-группа Fox Kitten понизила уровень безопасности политик PowerShell до менее безопасного, чтобы запускать вредоносные команды во взломанных системах.