Демонстрация концепции (PoC) эксплойта выявила критические уязвимости нулевого дня в Microsoft Windows, которые позволяют осуществлять новый вид "атак понижения версии". Эти уязвимости, обозначенные как CVE-2024-38202 и CVE-2024-21302, были впервые представлены исследователем SafeBreach Алоном Левиевым на недавних конференциях Black Hat USA 2024 и DEF CON 32.
Понимание уязвимостей
Обнаруженные недостатки позволяют злоумышленнику манипулировать процессом обновления Windows, что дает возможность незаметно понизить версию полностью обновленной системы до более старой, уязвимой версии. Это фактически возрождает ранее решенные проблемы безопасности, делая их снова эксплуатируемыми.
Левиев подчеркнул серьезность ситуации, заявив: "В результате я смог сделать полностью обновленную машину Windows уязвимой для тысяч прошлых уязвимостей, превращая исправленные уязвимости в нулевые дни и делая термин 'полностью обновленный' бессмысленным на любой машине Windows в мире."
С целью повышения осведомленности Левиев выпустил PoC эксплойт под названием "Windows Downdate" на GitHub. Этот инструмент автоматизирует эксплуатацию двух уязвимостей нулевого дня, позволяя контролировать процесс обновления Windows и создавая "полностью неотслеживаемые, невидимые, постоянные и необратимые понижения" критических компонентов операционной системы.
Технические последствия
Windows Downdate способен обходить проверку целостности, принудительное применение Trusted Installer и различные проверки безопасности, позволяя понижать версии важных DLL Windows, драйверов и даже ядра NT. Кроме того, он может понижать версии таких компонентов, как Credential Guard и Hyper-V, вновь открывая уязвимости повышения привилегий.
Последствия этого эксплойта глубоки. Злоумышленник может незаметно вернуть полностью обновленную установку Windows в уязвимое состояние, тем самым вновь открывая возможность эксплуатации тысяч ранее исправленных уязвимостей. Примечательно, что традиционные инструменты сканирования и восстановления неэффективны против этих вредоносных понижений.
Эксплуатируя незащищенные элементы архитектуры обновления Windows, Windows Downdate может незаметно понизить версию полностью обновленной системы, одновременно отключая ключевые функции безопасности таким образом, что это сложно обнаружить и обратить вспять.
Microsoft признала эти уязвимости нулевого дня в консультативных документах, выпущенных 7 августа, указав, что они активно работают над патчами. Однако, поскольку исправления не были доступны через месяц после этого, Левиев почувствовал необходимость опубликовать PoC для ускорения осведомленности и поощрения более быстрых усилий по устранению.
В своем консультативном документе для CVE-2024-21302 Microsoft заявила: "Microsoft разрабатывает обновление безопасности, которое отзовет устаревшие, незащищенные системные файлы VBS для смягчения этой уязвимости, но оно пока недоступно." В ожидании этого Microsoft предложила шаги по смягчению последствий, такие как внедрение списка управления доступом (ACL) или дискреционного списка управления доступом (DACL) для ограничения доступа к реестровому ключу PoqexecCmdline, который способствует атаке.
Однако эксперты по безопасности предупреждают, что эти меры неполные и могут быть легко обойдены решительным злоумышленником. Единственным комплексным решением будет установка официальных обновлений безопасности от Microsoft после их выпуска.
Широкий контекст
Этот инцидент подчеркивает присущие опасности уязвимостей нулевого дня в основных компонентах операционной системы, которые могут быть использованы для компрометации систем и повторного введения ранее исправленных уязвимостей. Он подчеркивает срочную необходимость более проактивных исследований этих сложных поверхностей атаки.
Левиев подчеркнул важность бдительности, заявив: "Дизайн...