На недавней конференции Black Hat 2024 исследователь безопасности из компании SafeBreach, Алон Левиев, представил тревожное открытие: две уязвимости нулевого дня, которые могут быть использованы в атаках на понижение версии, фактически "откатывая" полностью обновленные системы Windows 10, Windows 11 и Windows Server. Это открытие вызвало тревогу в сообществе кибербезопасности, так как оно вновь вводит старые уязвимости, которые могут поставить под угрозу целостность системы.
Эксплуатация процесса обновления
Исследование Левиева показало, что процесс обновления Windows может быть манипулирован для понижения версии критических компонентов операционной системы, таких как динамические библиотеки (DLL) и ядро NT. Что особенно тревожно, даже после отката этих компонентов система Windows Update сообщала, что ОС полностью обновлена. Инструменты восстановления и сканирования не могли обнаружить никаких несоответствий, создавая обманчивую видимость безопасности.
Используя эти уязвимости нулевого дня, Левиев продемонстрировал возможность понижения версии важных функций безопасности, таких как Secure Kernel и Isolated User Mode Process в Credential Guard, а также гипервизор Hyper-V. Это действие вновь открыло ранее устраненные уязвимости повышения привилегий, которые могут быть использованы злоумышленниками.
Левиев заявил: "Я обнаружил несколько способов отключения виртуализации безопасности Windows (VBS), включая такие функции, как Credential Guard и Hypervisor-Protected Code Integrity (HVCI), даже при их принудительном включении с помощью UEFI-замков. Насколько мне известно, это первый случай обхода UEFI-замков VBS без физического доступа." Это революционное открытие предполагает, что полностью обновленная машина Windows может стать уязвимой для тысяч прошлых эксплойтов, фактически сводя на нет концепцию "полностью обновленной" системы.
Более того, Левиев подчеркнул скрытный характер этой атаки на понижение версии, отметив, что она остается незамеченной решениями для обнаружения и реагирования на конечных точках (EDR). Ложные отчеты системы Windows Update о полностью обновленном устройстве еще больше усложняют обнаружение таких уязвимостей.
Текущие разработки
Атака Левиева "Windows Downdate" была представлена через шесть месяцев после того, как он ответственно сообщил об уязвимостях компании Microsoft в феврале. В заявлении Microsoft признала продолжающиеся усилия по разработке исправления для уязвимостей, связанных с повышением привилегий в стеке обновлений Windows и режиме защищенного ядра Windows. Эти уязвимости могут позволить злоумышленникам повысить привилегии, создать вредоносные обновления и заменить системные файлы на устаревшие версии.
Согласно Microsoft, уязвимость CVE-2024-38202 позволяет атакующим с базовыми пользовательскими привилегиями "откатывать" ранее устраненные недостатки безопасности или обходить функции VBS. В то время как те, кто обладает административными привилегиями, могут использовать уязвимость CVE-2024-21302 для замены критических системных файлов на старые, уязвимые версии.
Хотя Microsoft заявила, что в настоящее время ей неизвестно о каких-либо активных эксплуатациях этих уязвимостей, компания рекомендовала пользователям внедрить рекомендации, изложенные в выпущенных консультативных уведомлениях. Комментарии Левиева подчеркивают потенциальные последствия этих находок не только для Microsoft Windows — широко признанной самой используемой настольной операционной системой — но и для других операционных систем, которые могут быть уязвимы для аналогичных атак на понижение версии.