Исследователь безопасности из компании SafeBreach, Алон Левиев, выпустил на GitHub инструмент Windows Downdate, который можно использовать для атак с понижением версий Windows, вновь внедряя старые уязвимости в обновленные системы Windows 10, Windows 11 и Windows Server.
В атаках «понижения версий» злоумышленники заставляют обновленные целевые устройства возвращаться к старым версиям ПО, что приводит к повторному появлению уязвимостей безопасности, которые могут быть использованы для компрометации системы.
Windows Downdate доступен как программа с открытым исходным кодом на основе Python, а также как скомпилированный исполняемый файл для Windows, который помогает понизить версии компонентов систем Windows 10, Windows 11 и Windows Server.
Левиев также представил несколько примеров использования, позволяющих откатить гипервизор Hyper-V (до версии двухлетней давности), ядро Windows, драйвер NTFS и драйвер Filter Manager (до их базовых версий), а также другие компоненты Windows и ранее установленные патчи безопасности.
Алон Левиев пояснил:
Вы можете использовать этот инструмент для захвата Windows Update, чтобы откатить и снова открыть ранее устраненные уязвимости в DLL, драйверах, ядре NT, защищенном ядре, гипервизоре, доверенных модулях IUM и других компонентах.
Помимо пользовательских откатов, Windows Downdate предоставляет простые примеры использования для отката патчей для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault, а также примеры понижения версии гипервизора, ядра и обхода UEFI-блокировок VBS.
Как заявил Левиев на конференции Black Hat 2024, где он представил атаку с понижением версии с использованием Windows Downdate, эксплуатирующую уязвимости CVE-2024-21302 и CVE-2024-38202 — применение этого инструмента невозможно обнаружить, так как он не может быть заблокирован решениями по обнаружению и реагированию на инциденты (EDR), а служба обновления Windows продолжает сообщать, что целевая система обновлена.
Левиев отметил:
Я обнаружил несколько способов отключения виртуализированной безопасности Windows (VBS), включая такие функции, как Credential Guard и Hypervisor-Protected Code Integrity (HVCI), даже если они были принудительно активированы с помощью UEFI-блокировок. Насколько мне известно, это первый случай, когда UEFI-блокировки VBS были обойдены без физического доступа.
В результате я смог сделать полностью обновленную машину Windows уязвимой для тысяч старых уязвимостей, превращая исправленные уязвимости в уязвимости «нулевого дня» и делая термин «полностью обновленная» бессмысленным для любой машины Windows в мире.
Хотя Microsoft выпустила обновление безопасности (KB5041773) для устранения уязвимости повышения привилегий в режиме Windows Secure Kernel Mode CVE-2024-21302 7 августа, компания еще не предоставила патч для CVE-2024-38202, уязвимости повышения привилегий в стеке обновлений Windows.
До выхода обновления безопасности Microsoft рекомендует пользователям применить инструкции, опубликованные в рекомендациях по безопасности ранее в этом месяце, чтобы защититься от атак с использованием Windows Downdate.
Меры по смягчению этой проблемы включают настройку параметров «Аудит доступа к объектам» для мониторинга попыток доступа к файлам, ограничение операций обновления и восстановления, использование списков управления доступом для ограничения доступа к файлам и аудит привилегий для выявления попыток эксплуатации этой уязвимости.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах