Необнаруживаемая атака по понижению обновлений Windows раскрывает полностью обновленные системы

Алон Левиев, исследователь безопасности в SafeBreach, привлек срочное внимание к программным “атакам по понижению” на системах Windows 10, Windows 11 и Windows Server, которые могут заставить полностью обновленное программное обеспечение вернуться к более старой версии с известными, эксплуатируемыми уязвимостями.

Объявив об этом на проходящей конференции по безопасности “Black Hat 2024” в Лас-Вегасе, Левиев предупредил, что злоумышленники могут раскрыть и эксплуатировать ранее “полностью исправленные” уязвимости для компрометации систем и получения несанкционированного доступа.

Левиев показал, как процесс обновления Windows может быть скомпрометирован для понижения критических компонентов ОС, включая динамические библиотеки (DLL), драйверы и даже ядро NT.

Хотя атака по понижению откатит все критические компоненты к более старым версиям, проверка обновлений будет ложным образом сообщать, что операционная система (ОС) полностью обновлена и не может установить будущие обновления, в то время как инструменты восстановления и сканирования не смогут выявить никаких проблем.

“Я нашел несколько уязвимостей, которые я использовал для разработки Windows Downdate — инструмента для захвата процесса обновления Windows, чтобы создать полностью необнаруживаемые, невидимые, постоянные и необратимые понижения критических компонентов ОС, что позволило мне повысить привилегии и обойти функции безопасности. В результате я смог сделать полностью исправленную машину Windows уязвимой к тысячам прошлых уязвимостей, превратив исправленные уязвимости в нулевые дни и сделав термин “полностью исправленный” бессмысленным на любой машине Windows в мире,” написал Левиев в блоге.

Израильскому исследователю удалось успешно понизить Изолированный пользовательский режим процесса Credential Guard, Защищенное ядро и гипервизор Hyper-V, эксплуатируя уязвимости нулевого дня, тем самым раскрывая прошлые уязвимости повышения привилегий.

“Я обнаружил несколько способов отключить основанную на виртуализации безопасность Windows (VBS), включая ее функции, такие как Credential Guard и Защищенная целостность кода гипервизора (HVCI), даже когда они были принудительно защищены замками UEFI. Насколько мне известно, это первый случай, когда замки UEFI VBS были обойдены без физического доступа,” раскрыл Левиев.

“В результате я смог сделать полностью исправленную машину Windows уязвимой к тысячам прошлых уязвимостей, превратив исправленные уязвимости в нулевые дни и сделав термин “полностью исправленный” бессмысленным на любой машине Windows в мире.”

По словам Левиева, это первый случай, когда замки UEFI безопасности на основе виртуализации (VBS) были обойдены без физического доступа. Последствия его исследования значительны не только для Microsoft Windows, но и для всех поставщиков ОС, которые могут подвергаться атакам по понижению.

Лаборатории SafeBreach сообщили о атаке по понижению, названной “Windows Downdate”, в Microsoft в феврале этого года в рамках согласованного процесса ответственного раскрытия. Шесть месяцев спустя Левиев раскрыл атаку по понижению “Windows Downdate” общественности.

Microsoft выпустила уведомления о двух неустраненных уязвимостях нулевого дня (отслеживаемых как CVE-2024-38202 и CVE-2024-21302) и сообщила, что клиенты будут уведомлены, когда официальное решение будет доступно в обновлении безопасности Windows. Также было сказано, что компания не знает о каких-либо попытках эксплуатации этих уязвимостей в дикой природе.

Тем временем компания дала рекомендации, которые не устраняют уязвимости, но могут быть использованы для снижения риска эксплуатации до тех пор, пока обновление безопасности не станет доступным.

“Мы ценим работу SafeBreach по выявлению и ответственному сообщению об этой уязвимости через согласованное раскрытие уязвимостей. Мы активно разрабатываем меры по защите от этих рисков, следуя обширному процессу, включающему тщательное расследование, разработку обновлений для всех затронутых версий и тестирование совместимости, чтобы обеспечить максимальную защиту клиентов с минимальными операционными нарушениями,” сказал представитель Microsoft в заявлении.