Инструмент Windows Downdate, который позволяет отзывать исправления системы Windows, доступен на GitHub

2024-08-28 2654 комментарии
Исследователь безопасности Алон Левиев из SafeBreach выпустил на GitHub инструмент Windows Downdate, который позволяет отзывать обновления Windows, вновь открывая ранее устраненные уязвимости. Инструмент поддерживает откат версий компонентов Windows 10, 11 и Server, делая их уязвимыми для атак

Исследователь безопасности из компании SafeBreach, Алон Левиев, выпустил на GitHub инструмент Windows Downdate, который можно использовать для атак с понижением версий Windows, вновь внедряя старые уязвимости в обновленные системы Windows 10, Windows 11 и Windows Server.

В атаках «понижения версий» злоумышленники заставляют обновленные целевые устройства возвращаться к старым версиям ПО, что приводит к повторному появлению уязвимостей безопасности, которые могут быть использованы для компрометации системы.

Windows Downdate доступен как программа с открытым исходным кодом на основе Python, а также как скомпилированный исполняемый файл для Windows, который помогает понизить версии компонентов систем Windows 10, Windows 11 и Windows Server.

Скачать Windows Downdate

Левиев также представил несколько примеров использования, позволяющих откатить гипервизор Hyper-V (до версии двухлетней давности), ядро Windows, драйвер NTFS и драйвер Filter Manager (до их базовых версий), а также другие компоненты Windows и ранее установленные патчи безопасности.

Алон Левиев пояснил:

Вы можете использовать этот инструмент для захвата Windows Update, чтобы откатить и снова открыть ранее устраненные уязвимости в DLL, драйверах, ядре NT, защищенном ядре, гипервизоре, доверенных модулях IUM и других компонентах.

Помимо пользовательских откатов, Windows Downdate предоставляет простые примеры использования для отката патчей для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault, а также примеры понижения версии гипервизора, ядра и обхода UEFI-блокировок VBS.

Как заявил Левиев на конференции Black Hat 2024, где он представил атаку с понижением версии с использованием Windows Downdate, эксплуатирующую уязвимости CVE-2024-21302 и CVE-2024-38202 — применение этого инструмента невозможно обнаружить, так как он не может быть заблокирован решениями по обнаружению и реагированию на инциденты (EDR), а служба обновления Windows продолжает сообщать, что целевая система обновлена.

Левиев отметил:

Я обнаружил несколько способов отключения виртуализированной безопасности Windows (VBS), включая такие функции, как Credential Guard и Hypervisor-Protected Code Integrity (HVCI), даже если они были принудительно активированы с помощью UEFI-блокировок. Насколько мне известно, это первый случай, когда UEFI-блокировки VBS были обойдены без физического доступа.

В результате я смог сделать полностью обновленную машину Windows уязвимой для тысяч старых уязвимостей, превращая исправленные уязвимости в уязвимости «нулевого дня» и делая термин «полностью обновленная» бессмысленным для любой машины Windows в мире.

Хотя Microsoft выпустила обновление безопасности (KB5041773) для устранения уязвимости повышения привилегий в режиме Windows Secure Kernel Mode CVE-2024-21302 7 августа, компания еще не предоставила патч для CVE-2024-38202, уязвимости повышения привилегий в стеке обновлений Windows.

До выхода обновления безопасности Microsoft рекомендует пользователям применить инструкции, опубликованные в рекомендациях по безопасности ранее в этом месяце, чтобы защититься от атак с использованием Windows Downdate.

Меры по смягчению этой проблемы включают настройку параметров «Аудит доступа к объектам» для мониторинга попыток доступа к файлам, ограничение операций обновления и восстановления, использование списков управления доступом для ограничения доступа к файлам и аудит привилегий для выявления попыток эксплуатации этой уязвимости.

© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте