Исследователь Алон Левиев из SafeBreach на конференции Black Hat 2024 выкатил две 0-day, которые могут быть использованы в атаках, реализующих откат критических исправлений в Windows 10, Windows 11 и Windows Server.
В результате таких атак злоумышленники заставляют обновленное целевое устройство откатываться к более старым версиям ПО, что вновь открывает уже исправленные уязвимости, которые можно использовать для взлома систем.
Причем процесс обновления Windows может быть скомпрометирован для понижения версий именно критических компонентов ОС, включая динамические библиотеки (DLL) и ядро NT.
При этом при проверке Центром обновления Windows ОС все заниженные компоненты будут отображаться в актуальном состоянии, а сканирование не приведет к обнаружению каких-либо проблем.
Используя CVE-2024-38202 и CVE-2024-21302, исследователь также смог понизить уровень защищенного ядра Credential Guard и изолированного процесса пользовательского режима, а также гипервизора Hyper-V, вернув прошлые уязвимости повышения привилегий.
Он представил несколько способов отключения безопасности на основе виртуализации Windows (VBS), включая такие функции, как Credential Guard и Hypervisor-Protected Code integrity (HVCI), даже если они усилены блокировками UEFI, впервые добившись обхода блокировок UEFI VBS без физического доступа.
По результатам удалось сформировать полностью пропатченную машину Windows уязвимой для тысяч прошлых уязвимостей, превратив все исправленные уязвимости в рабочие нули, обнулив тем самым термин «полностью пропатченная».
Сама атака на понижениея версии фактически не обнаруживается, поскольку ее нельзя заблокировать с помощью решений EDR, а также она невидима, поскольку Центр обновления Windows сообщает, что устройство полностью обновлено (несмотря на понижение версии).
С момента того, как исследователь представил атаку Windows Downdate еще в феврале в Microsoft, разработчики до сих пор не смогли ее исправить, выпустив лишь рекомендации по смягчению последствий Windows Update Stack Elevation of Privilege и Windows Secure Kernel Mode Elevation of Privilege.
Как поясняет компания, уязвимость повышения привилегий CVE-2024-38202 Windows Backup позволяет злоумышленникам с базовыми правами пользователя «отменять исправления» ранее устраненных ошибок безопасности или обходить функции VBS.
Злоумышленники с правами администратора могут использовать уязвимость повышения привилегий CVE-2024-21302 для замены системных файлов Windows устаревшими и уязвимыми версиями.
Microsoft заявила, что в настоящее время ей неизвестно о попытках эксплуатации этой уязвимости в реальных условиях, и рекомендовала реализовать рекомендации, изложенные в двух опубликованных сегодня рекомендациях.
Компания активно работает над исправлением нулей, включая и обновления, которые отменят устаревшие, неисправленные системные файлы VBS для смягчения атаки.
Исследователь считает, что последствия будут существенными не только для Microsoft Windows, но и для других поставщиков ОС, которые потенциально могут быть подвержены атакам с целью понижения версии.
• Source: http://www.blackhat.com/us-24/brief...downgrade-attacks-using-windows-updates-38963
• Source: https://i.blackhat.com/BH-US-24/Pre...e-Attacks-Using-Windows-Updates-Wednesday.pdf
В результате таких атак злоумышленники заставляют обновленное целевое устройство откатываться к более старым версиям ПО, что вновь открывает уже исправленные уязвимости, которые можно использовать для взлома систем.
Причем процесс обновления Windows может быть скомпрометирован для понижения версий именно критических компонентов ОС, включая динамические библиотеки (DLL) и ядро NT.
При этом при проверке Центром обновления Windows ОС все заниженные компоненты будут отображаться в актуальном состоянии, а сканирование не приведет к обнаружению каких-либо проблем.
Используя CVE-2024-38202 и CVE-2024-21302, исследователь также смог понизить уровень защищенного ядра Credential Guard и изолированного процесса пользовательского режима, а также гипервизора Hyper-V, вернув прошлые уязвимости повышения привилегий.
Он представил несколько способов отключения безопасности на основе виртуализации Windows (VBS), включая такие функции, как Credential Guard и Hypervisor-Protected Code integrity (HVCI), даже если они усилены блокировками UEFI, впервые добившись обхода блокировок UEFI VBS без физического доступа.
По результатам удалось сформировать полностью пропатченную машину Windows уязвимой для тысяч прошлых уязвимостей, превратив все исправленные уязвимости в рабочие нули, обнулив тем самым термин «полностью пропатченная».
Сама атака на понижениея версии фактически не обнаруживается, поскольку ее нельзя заблокировать с помощью решений EDR, а также она невидима, поскольку Центр обновления Windows сообщает, что устройство полностью обновлено (несмотря на понижение версии).
С момента того, как исследователь представил атаку Windows Downdate еще в феврале в Microsoft, разработчики до сих пор не смогли ее исправить, выпустив лишь рекомендации по смягчению последствий Windows Update Stack Elevation of Privilege и Windows Secure Kernel Mode Elevation of Privilege.
Как поясняет компания, уязвимость повышения привилегий CVE-2024-38202 Windows Backup позволяет злоумышленникам с базовыми правами пользователя «отменять исправления» ранее устраненных ошибок безопасности или обходить функции VBS.
Злоумышленники с правами администратора могут использовать уязвимость повышения привилегий CVE-2024-21302 для замены системных файлов Windows устаревшими и уязвимыми версиями.
Microsoft заявила, что в настоящее время ей неизвестно о попытках эксплуатации этой уязвимости в реальных условиях, и рекомендовала реализовать рекомендации, изложенные в двух опубликованных сегодня рекомендациях.
Компания активно работает над исправлением нулей, включая и обновления, которые отменят устаревшие, неисправленные системные файлы VBS для смягчения атаки.
Исследователь считает, что последствия будут существенными не только для Microsoft Windows, но и для других поставщиков ОС, которые потенциально могут быть подвержены атакам с целью понижения версии.
• Source: http://www.blackhat.com/us-24/brief...downgrade-attacks-using-windows-updates-38963
• Source: https://i.blackhat.com/BH-US-24/Pre...e-Attacks-Using-Windows-Updates-Wednesday.pdf