В проактивном шаге Microsoft объявила о своей приверженности разработке обновлений безопасности, направленных на устранение двух критических уязвимостей в операционной системе Windows. Эти уязвимости представляют риск атак понижения, которые могут позволить злоумышленникам заменить текущие файлы операционной системы на устаревшие версии.
Идентифицированные уязвимости
Уязвимости, о которых идет речь:
- CVE-2024-38202 (CVSS score: 7.3) – Уязвимость повышения привилегий в стеке обновлений Windows
- CVE-2024-21302 (CVSS score: 6.7) – Уязвимость повышения привилегий в режиме защищенного ядра Windows
Обнаружение этих недостатков приписывается Арону Левиеву, исследователю из SafeBreach Labs, который представил свои находки на конференциях Black Hat USA 2024 и DEF CON 32. Первая уязвимость, CVE-2024-38202, связана с компонентом резервного копирования Windows и позволяет атакующему с базовыми пользовательскими привилегиями потенциально повторно вводить ранее устраненные уязвимости или обходить определенные функции виртуализации на основе безопасности (VBS).
Однако эксплуатация этой уязвимости требует, чтобы атакующий убедил администратора или пользователя с делегированными правами выполнить восстановление системы, что непреднамеренно активирует недостаток. Вторая уязвимость, CVE-2024-21302, также относится к повышению привилегий в системах Windows, поддерживающих VBS, позволяя злоумышленнику заменять текущие файлы системы Windows на более старые версии.
Последствия CVE-2024-21302 значительны, так как она может быть использована для повторного введения ранее устраненных недостатков безопасности, обхода функций VBS и эксфильтрации данных, защищенных VBS. Левиев подробно рассказал о разработанном им инструменте под названием Windows Downdate, который может превратить полностью обновленную машину Windows в уязвимую к многочисленным прошлым эксплойтам. Этот инструмент эффективно подрывает целостность операционной системы, позволяя незаметно понижать критические компоненты, тем самым повышая привилегии и обходя меры безопасности.
Windows Downdate может обходить важные шаги проверки, включая проверки целостности и принудительное выполнение Trusted Installer, что делает возможным понижение важных компонентов операционной системы, таких как динамические библиотеки (DLL), драйверы и ядро NT. Последствия этих уязвимостей распространяются дальше, так как они могут способствовать понижению изолированного процесса пользователя Credential Guard, защищенного ядра и гипервизора Hyper-V, подвергая системы ранее устраненным уязвимостям повышения привилегий и отключая VBS и связанные функции, такие как Hypervisor-Protected Code Integrity (HVCI).
Таким образом, полностью обновленная система Windows может стать уязвимой к тысячам прошлых уязвимостей, эффективно превращая решенные проблемы в угрозы нулевого дня. Примечательно, что эти понижения могут вводить операционную систему в заблуждение, сообщая, что она полностью обновлена, одновременно препятствуя будущим обновлениям и затрудняя обнаружение средствами восстановления и сканирования.
Левиев отметил удивительный характер этой атаки понижения, подчеркивая конструктивный недостаток, который позволяет менее привилегированным уровням виртуального доверия обновлять компоненты в более привилегированных уровнях. Этот недостаток сохранялся почти десятилетие с момента введения функций VBS от Microsoft в 2015 году.
Для тех, кто заинтересован в получении актуальной информации о таких разработках, подписка на наши обновления в Twitter и LinkedIn предоставит доступ к эксклюзивному контенту и инсайтам.