На недавней конференции Black Hat 2024 исследователь SafeBreach Анон Левиев представил вызывающий беспокойство новый инструмент, способный незаметно отменять установленные патчи безопасности на системах, работающих под управлением Windows 10, Windows 11 и Windows Server. Это инновационное, но тревожное развитие, названное Windows Downdate, позволяет злоумышленникам выполнять атаки понижения версии, фактически повторно вводя ранее исправленные уязвимости.
Понимание Windows Downdate
Левиев сделал этот инструмент доступным как программу на Python с открытым исходным кодом, а также в виде предварительно скомпилированного исполняемого файла для Windows. С помощью Windows Downdate пользователи могут обходить определенные элементы Windows Update для создания пользовательских пакетов понижения версии. Эта функциональность не только обнажает старые уязвимости безопасности, но и позволяет пользователям компрометировать системы так, как будто они никогда не получали критических обновлений.
Инструмент специально нацелен на уязвимости, такие как CVE-2024-21302 и CVE-2024-38202. Его работа особенно коварна, так как решения для обнаружения и реагирования на конечных точках (EDR) не могут обнаружить или заблокировать его действия. Более того, Windows Update продолжает сообщать, что система полностью обновлена, несмотря на то, что она фактически была понижена.
Левиев предоставил практические примеры использования инструмента, демонстрируя возможность возвращения гипервизора Hyper-V к версии двухлетней давности. Инструкции также подробно описывают, как понизить версию ядра Windows, драйвера NTFS и драйвера Filter Manager до их исходных состояний. Кроме того, руководство включает шаги по понижению версии других компонентов Windows и ранее примененных патчей безопасности.
В призыве к действию Левиев призвал сообщество кибербезопасности использовать Windows Downdate для дальнейших исследований и выявления дополнительных уязвимостей. Он задал своим коллегам вопрос: «Есть ли у вас на примете дополнительные компоненты Windows, которые могут быть уязвимы для понижения версии?»
В ответ на эти события Microsoft выпустила обновление безопасности 7 августа для устранения уязвимости CVE-2024-21302, связанной с ошибкой повышения привилегий в режиме Secure Kernel Mode Windows. Однако патч для CVE-2024-38202, который включает уязвимость повышения привилегий в стеке обновлений Windows, еще не был выпущен.
До тех пор, пока не будет доступно обновление безопасности для CVE-2024-38202, Microsoft рекомендовала пользователям следовать рекомендациям, изложенным в недавнем консультативном документе по безопасности. Эти рекомендации включают настройку параметров «Аудит доступа к объектам» для мониторинга попыток доступа к файлам, ограничение операций обновления и восстановления, использование списков управления доступом для ограничения доступа к файлам и проведение регулярных аудитов для выявления любых попыток эксплуатации уязвимости.