Исследователь безопасности SafeBreach Алон Левиев представил революционный инструмент под названием Windows Downdate, предназначенный для проведения атак на понижение, которые могут повторно ввести ранее исправленные уязвимости в текущие системы Windows 10, Windows 11 и Windows Server. Этот инструмент позволяет злоумышленникам принудительно заставить обновленные устройства вернуться к старым версиям программного обеспечения, тем самым подвергая их уязвимостям, которые могут быть использованы.
Обзор инструмента
Windows Downdate доступен как программа с открытым исходным кодом, написанная на Python, а также в виде предварительно скомпилированного исполняемого файла для пользователей Windows. Он позволяет понижать различные системные компоненты, включая гипервизор Hyper-V, ядро Windows, драйвер NTFS и драйвер Filter Manager, среди прочих. Левиев предоставил несколько практических примеров, демонстрирующих, как вернуть эти компоненты к их базовым версиям, эффективно восстанавливая уязвимости, которые были ранее исправлены.
«Вы можете использовать его для захвата обновлений Windows с целью понижения и выявления прошлых уязвимостей, исходящих из DLL, драйверов, ядра NT, безопасного ядра, гипервизора, доверенных модулей IUM и других», — пояснил Левиев. Он также подчеркнул, что инструмент предлагает простые примеры для возврата патчей, связанных с известными уязвимостями, такими как CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault.
Необнаруживаемые эксплойты
Во время своей презентации на Black Hat 2024 Левиев раскрыл, что инструмент Windows Downdate эксплуатирует уязвимости CVE-2024-21302 и CVE-2024-38202. Одним из самых тревожных аспектов этого инструмента является его необнаруживаемость; он работает без того, чтобы его замечали решения для обнаружения и реагирования на конечных точках (EDR), в то время как Windows Update продолжает указывать, что система остается обновленной, несмотря на понижения.
«Я обнаружил несколько способов отключения виртуализации безопасности Windows (VBS), включая такие ее функции, как Credential Guard и Hypervisor-Protected Code Integrity (HVCI), даже когда они принудительно включены с помощью UEFI-замков. Насколько мне известно, это первый случай обхода UEFI-замков VBS без физического доступа», — заявил Левиев. Эта возможность эффективно превращает полностью обновленную машину Windows в уязвимую к множеству прошлых эксплойтов, делая термин «полностью обновленный» практически бессмысленным в контексте безопасности Windows.
Ответ Microsoft
В ответ на эти события Microsoft выпустила обновление безопасности (KB5041773) 7 августа для устранения уязвимости CVE-2024-21302, связанной с повышением привилегий в режиме Secure Kernel Mode. Однако патч для CVE-2024-38202, касающейся повышения привилегий в стеке обновлений Windows, еще не был выпущен. До тех пор, пока не будет доступно исправление, Microsoft рекомендует клиентам внедрить защитные меры, изложенные в недавнем уведомлении о безопасности.
- Настройте параметры «Аудит доступа к объектам» для мониторинга попыток доступа к файлам.
- Ограничьте операции обновления и восстановления.
- Используйте списки управления доступом (ACL) для ограничения доступа к файлам.
- Проводите аудит привилегий для выявления потенциальных попыток эксплуатации.