Ataque de Rebaixamento de Atualização do Windows Indetectável Expõe Sistemas Totalmente Atualizados

Alon Leviev, um pesquisador de segurança da SafeBreach, chamou a atenção urgente para os “ataques de rebaixamento” de software em sistemas Windows 10, Windows 11 e Windows Server que podem forçar software totalmente atualizado a reverter para uma versão mais antiga com vulnerabilidades conhecidas e exploráveis.

Fazendo o anúncio na conferência de segurança em andamento “Black Hat 2024” realizada em Las Vegas, Leviev alertou que atores maliciosos podem expor e explorar vulnerabilidades anteriormente “totalmente corrigidas” para comprometer sistemas e obter acesso não autorizado.

Leviev mostrou como o processo de atualização do Windows poderia ser comprometido para rebaixar componentes críticos do sistema operacional, incluindo bibliotecas de link dinâmico (DLLs), drivers e até mesmo o núcleo NT.

Embora um ataque de rebaixamento revertesse todos os componentes críticos para versões mais antigas, a verificação de atualização relataria falsamente que o sistema operacional (SO) estava totalmente atualizado e incapaz de instalar futuras atualizações, enquanto ferramentas de recuperação e verificação não conseguiam identificar quaisquer problemas.

“Encontrei várias vulnerabilidades que usei para desenvolver o Windows Downdate—uma ferramenta para assumir o processo de Atualização do Windows para criar rebaixamentos totalmente indetectáveis, invisíveis, persistentes e irreversíveis em componentes críticos do SO—que me permitiu elevar privilégios e contornar recursos de segurança. Como resultado, consegui tornar uma máquina Windows totalmente corrigida suscetível a milhares de vulnerabilidades passadas, transformando vulnerabilidades corrigidas em zero-days e tornando o termo “totalmente corrigido” sem sentido em qualquer máquina Windows no mundo,” escreveu Leviev em um post no blog.

O pesquisador israelense conseguiu rebaixar com sucesso o Processo de Modo de Usuário Isolado do Credential Guard, o Núcleo Seguro e o hipervisor do Hyper-V explorando as vulnerabilidades zero-day, expondo assim vulnerabilidades passadas de escalonamento de privilégios.

“Descobri várias maneiras de desativar a segurança baseada em virtualização do Windows (VBS), incluindo seus recursos como Credential Guard e Integridade de Código Protegida por Hipervisor (HVCI), mesmo quando aplicados com bloqueios UEFI. Até onde sei, esta é a primeira vez que os bloqueios UEFI do VBS foram contornados sem acesso físico,” revelou Leviev.

“Como resultado, consegui tornar uma máquina Windows totalmente corrigida suscetível a milhares de vulnerabilidades passadas, transformando vulnerabilidades corrigidas em zero-days e tornando o termo “totalmente corrigido” sem sentido em qualquer máquina Windows no mundo.”

De acordo com Leviev, esta é a primeira vez que os bloqueios UEFI da segurança baseada em virtualização (VBS) foram contornados sem acesso físico. As implicações de sua pesquisa são significativas não apenas para o Microsoft Windows, mas também para todos os fornecedores de SO que podem estar sujeitos a ataques de rebaixamento.

Os SafeBreach Labs relataram o ataque de rebaixamento, denominado ‘Windows Downdate,’ à Microsoft em fevereiro deste ano como parte de um processo coordenado de divulgação responsável. Seis meses após o relatório, Leviev revelou o ataque de rebaixamento ‘Windows Downdate’ ao público.

A Microsoft emitiu avisos sobre as duas vulnerabilidades zero-day não corrigidas (rastreadas como CVE-2024-38202 e CVE-2024-21302) e disse que os clientes serão notificados quando a mitigação oficial estiver disponível em uma atualização de segurança do Windows. Também afirmou que não tem conhecimento de quaisquer tentativas de explorar essas vulnerabilidades na natureza.

Enquanto isso, a empresa forneceu recomendações que não mitigam as vulnerabilidades, mas podem ser usadas para reduzir o risco de exploração até que a atualização de segurança esteja disponível.

“Agradecemos o trabalho da SafeBreach em identificar e relatar essa vulnerabilidade de forma responsável por meio de uma divulgação coordenada de vulnerabilidades. Estamos desenvolvendo ativamente mitigação para proteger contra esses riscos enquanto seguimos um processo extenso envolvendo uma investigação minuciosa, desenvolvimento de atualizações em todas as versões afetadas e testes de compatibilidade, para garantir a máxima proteção ao cliente com a mínima interrupção operacional,” disse um porta-voz da Microsoft em um comunicado.