Атаки на Windows Downdate – Что Нужно Знать
Атаки на понижение версии, также известные как атаки на откат версии, предназначены для возврата полностью обновленного программного обеспечения к более старым версиям. Эта тактика позволяет злоумышленникам использовать ранее исправленные уязвимости, тем самым компрометируя системы и получая несанкционированный доступ.
Последние результаты, представленные исследователем SafeBreach Labs Алоном Левиевым на Black Hat USA 2024 и DEF CON 32, углубляются в состояние атак на понижение версии на Windows. Исследования Левиева привели к разработке Windows Downdate, инструмента, способного захватить процесс обновления Windows, позволяя злоумышленникам выполнять незаметные и необратимые откаты критических компонентов операционной системы. Это тревожное открытие подчеркивает, как решительный атакующий может сделать полностью обновленную машину Windows уязвимой для тысяч прошлых эксплойтов, фактически сводя на нет концепцию "полностью обновленного" состояния.
Эти уязвимости были раскрыты Microsoft в феврале 2024 года, что привело к выпуску двух CVE: CVE-2024-21302 и CVE-2024-38202. Microsoft с тех пор предоставила дополнительные рекомендации по безопасности через свой Security Update Guide ADV24216903. Для дальнейших вопросов заинтересованные стороны могут обратиться напрямую к команде Microsoft по коммуникациям по адресу communications@microsoft.com.
Эксплойт Уязвимости Quick Share – Что Нужно Знать
Quick Share от Google, утилита для передачи данных peer-to-peer для Android, Windows и Chrome, использует различные протоколы связи для облегчения обмена файлами между близлежащими устройствами. Недавние исследования SafeBreach Labs, представленные на DEF CON 32, стремились выявить потенциальные уязвимости в этом относительно новом решении для обмена файлами.
Это исследование выявило десять уникальных уязвимостей, некоторые из которых можно было бы объединить в инновационную цепочку атак удаленного выполнения кода (RCE) против Quick Share для Windows. Эти находки подчеркивают, что даже казалось бы незначительные функции могут быть использованы мотивированными злоумышленниками для организации сложных атак.
Уязвимости были раскрыты Google в январе 2024 года, что привело к выпуску двух CVE: CVE-2024-38271 и CVE-2024-38272. Выявленные уязвимости включают:
- Удаленная несанкционированная запись файлов в Quick Share для Windows
- Удаленная несанкционированная запись файлов в Quick Share для Android
- Удаленное принудительное подключение WiFi в Quick Share для Windows
- Удаленная навигация по каталогам в Quick Share для Windows
- Удаленный DoS в Quick Share для Windows – бесконечный цикл
- Удаленный DoS в Quick Share для Windows – ошибка утверждения
- Удаленный DoS в Quick Share для Windows – необработанное исключение
Покрытие SafeBreach Атак на Windows Downdate и Уязвимостей Quick Share
SafeBreach включил отдельные атаки, связанные с выявленными уязвимостями, в свою Hacker’s Playbook, позволяя организациям проверять свои средства защиты:
- Атаки на понижение версии: Две атаки, которые позволяют злоумышленнику потенциально захватить процесс обновления Windows и понизить версию Windows до уязвимой:
- #10341 – Windows Downdate – захват обновления Windows
- #10342 – Windows Downdate – повышение привилегий TrustedInstaller
- Атаки на Quick Share: Атаки, которые позволяют злоумышленнику заставить жертву загрузить любой файл по своему выбору на уязвимую версию QuickShare:
- #10334