За последний год Анон Левиев, исследователь из SafeBreach и бывший спортсмен по бразильскому джиу-джитсу, сделал значительные шаги в области кибербезопасности с разработкой инструмента под названием Windows Downdate. Этот инновационный инструмент способен незаметно перехватывать процесс обновления Windows, что позволяет, по словам Левиева, осуществлять «невидимое, постоянное и необратимое» понижение критических компонентов операционной системы. Последствия этого инструмента весьма серьезны, так как он фактически отменяет предыдущие обновления безопасности, тем самым подвергая системы уязвимостям, которые могут быть использованы злоумышленниками.
Ответственное раскрытие информации и текущие усилия
В положительном ключе намерения Левиева в этом исследовании заключаются в стремлении усилить меры кибербезопасности и защитить пользователей от потенциальных угроз. С февраля 2024 года Microsoft была проинформирована об этих уязвимостях, и недавно были запущены две официальные страницы уязвимостей — CVE-2024-38202 и CVE-2024-21302 — для содействия разработке необходимых обновлений. Выводы Левиева были распространены через различные каналы, включая блог-пост и презентации на конференциях Black Hat USA 2024 и DEF CON 32 на прошлой неделе.
Исследование подчеркивает, что критические компоненты, такие как драйверы, DLL-файлы и ядро NT, уязвимы для этих тихих понижений. Что тревожно, даже инструменты обновления и восстановления/сканирования Windows не могут обнаружить эти проблемы, оставляя системы под угрозой. Более того, расследование Левиева выявило, что вся виртуализационная стека также скомпрометирована, включая Secure Kernel, гипервизор Hyper-V и изолированный процесс пользователя Credential Guard. Эта уязвимость позволяет отключать безопасность на основе виртуализации по нескольким направлениям, даже в сценариях, где установлены блокировки UEFI, обычно требующие физического доступа для обхода.
В результате полностью обновленные машины на Windows 11 теперь подвержены «тысячам прошлых уязвимостей», что делает термин «полностью обновленный» почти бессмысленным до тех пор, пока эти проблемы не будут действительно решены, по словам Левиева. Его наблюдения выходят за рамки Windows, предполагая, что старые версии Windows, а также операционные системы Mac и Linux также могут быть уязвимы для подобных атак. Это подчеркивает необходимость для поставщиков ОС занять более проактивную позицию в решении потенциальных векторов атак в существующих функциях.
К счастью, эксплойт не был выпущен в открытый доступ, предоставляя Microsoft важное окно для устранения этих уязвимостей до того, как они смогут быть широко использованы. Тем не менее, устойчивость эксплойта VBS на протяжении почти десятилетия вызывает серьезные опасения по поводу общей безопасности ландшафта.