Attacco di Downgrade degli Aggiornamenti di Windows Indetectabile Espone Sistemi Completamente Aggiornati

Alon Leviev, un ricercatore di sicurezza di SafeBreach, ha attirato l’attenzione urgente su attacchi di “downgrade” software su sistemi Windows 10, Windows 11 e Windows Server che possono costringere software completamente aggiornati a tornare a una versione precedente con vulnerabilità note e sfruttabili.

Facendo l’annuncio alla conferenza di sicurezza in corso “Black Hat 2024” tenutasi a Las Vegas, Leviev ha avvertito che attori malintenzionati possono esporre e sfruttare vulnerabilità precedentemente “completamente patchate” per compromettere i sistemi e ottenere accesso non autorizzato.

Leviev ha mostrato come il processo di aggiornamento di Windows potrebbe essere compromesso per effettuare il downgrade di componenti critici del sistema operativo, comprese le librerie di collegamento dinamico (DLL), i driver e persino il kernel NT.

Sebbene un attacco di downgrade riporterebbe tutti i componenti critici alle versioni precedenti, il controllo degli aggiornamenti riporterebbe falsamente che il sistema operativo (OS) era completamente aggiornato e incapace di installare aggiornamenti futuri, mentre gli strumenti di recupero e scansione non sarebbero in grado di identificare alcun problema.

“Ho trovato diverse vulnerabilità che ho usato per sviluppare Windows Downdate—uno strumento per prendere il controllo del processo di aggiornamento di Windows per creare downgrade completamente indetectabili, invisibili, persistenti e irreversibili su componenti critici del sistema operativo—che mi hanno permesso di elevare i privilegi e bypassare le funzionalità di sicurezza. Di conseguenza, sono stato in grado di rendere una macchina Windows completamente patchata suscettibile a migliaia di vulnerabilità passate, trasformando vulnerabilità corrette in zero-day e rendendo il termine “completamente patchato” privo di significato su qualsiasi macchina Windows nel mondo,” ha scritto Leviev in un post sul blog.

Il ricercatore israeliano è stato in grado di effettuare con successo il downgrade del Processo Isolato della Modalità Utente di Credential Guard, del Kernel Sicuro e dell’ipervisore di Hyper-V sfruttando le vulnerabilità zero-day, esponendo così vulnerabilità di escalation dei privilegi passate.

“Ho scoperto diversi modi per disabilitare la sicurezza basata su virtualizzazione di Windows (VBS), comprese le sue funzionalità come Credential Guard e l’integrità del codice protetto dall’ipervisore (HVCI), anche quando imposte con blocchi UEFI. A mia conoscenza, questa è la prima volta che i blocchi UEFI di VBS sono stati bypassati senza accesso fisico,” ha rivelato Leviev.

“Di conseguenza, sono stato in grado di rendere una macchina Windows completamente patchata suscettibile a migliaia di vulnerabilità passate, trasformando vulnerabilità corrette in zero-day e rendendo il termine “completamente patchato” privo di significato su qualsiasi macchina Windows nel mondo.”

Secondo Leviev, questa è la prima volta che i blocchi UEFI della sicurezza basata su virtualizzazione (VBS) sono stati bypassati senza accesso fisico. Le implicazioni della sua ricerca sono significative non solo per Microsoft Windows ma anche per tutti i fornitori di sistemi operativi che potrebbero essere soggetti a attacchi di downgrade.

SafeBreach Labs ha segnalato l’attacco di downgrade, soprannominato ‘Windows Downdate,’ a Microsoft nel febbraio di quest’anno come parte di un processo di divulgazione responsabile coordinato. Sei mesi dopo la segnalazione, Leviev ha rivelato al pubblico l’attacco di downgrade ‘Windows Downdate.’

Microsoft ha emesso avvisi sulle due vulnerabilità zero-day non corrette (tracciate come CVE-2024-38202 e CVE-2024-21302) e ha dichiarato che i clienti saranno informati quando la mitigazione ufficiale sarà disponibile in un aggiornamento di sicurezza di Windows. Ha anche affermato di non essere a conoscenza di tentativi di sfruttare queste vulnerabilità nel mondo reale.

Nel frattempo, l’azienda ha fornito raccomandazioni che non mitigano le vulnerabilità ma possono essere utilizzate per ridurre il rischio di sfruttamento fino a quando l’aggiornamento di sicurezza non sarà disponibile.

“Apprezziamo il lavoro di SafeBreach nell’identificare e segnalare responsabilmente questa vulnerabilità attraverso una divulgazione coordinata delle vulnerabilità. Stiamo attivamente sviluppando mitigazioni per proteggere contro questi rischi seguendo un processo esteso che coinvolge un’indagine approfondita, lo sviluppo di aggiornamenti per tutte le versioni interessate e test di compatibilità, per garantire la massima protezione dei clienti con la minima interruzione operativa,” ha dichiarato un portavoce di Microsoft in una nota.