Il ricercatore di sicurezza SafeBreach Alon Leviev ha rivelato alla conferenza Black Hat 2024 che gli zero days possono essere sfruttati negli attacchi di downgrade per “annullare” i sistemi Windows 10, Windows 11 e Windows Server completamente aggiornati e reintrodurre vecchie vulnerabilità.

Microsoft ha emesso avvisi sui due zero-day senza patch (tracciati come CVE-2024-38202 e CVE-2024-21302) in coordinamento con Black Hat talk e fornendo consigli di mitigazione fino al rilascio di una correzione.

Negli attacchi di downgrade, gli autori degli attacchi costringono un dispositivo bersaglio aggiornato a ripristinare le versioni precedenti del software, reintroducendo vulnerabilità che possono essere sfruttate per compromettere il sistema.

Il ricercatore di sicurezza SafeBreach Alon Leviev ha scoperto che il processo di aggiornamento di Windows può essere violato per eseguire il downgrade di componenti critici del sistema operativo, comprese le librerie di collegamento dinamico (DLL) e il kernel NT. Sebbene tutti questi componenti siano ormai obsoleti, quando ho controllato Windows Update, il sistema operativo ha segnalato che era completamente aggiornato, con gli strumenti di ripristino e scansione incapaci di rilevare eventuali problemi.

Sfruttando le vulnerabilità zero-day, può anche eseguire il downgrade del kernel sicuro e del processo in modalità utente isolato in Credential Guard e nell'hypervisor di Hyper-V per esporre le precedenti vulnerabilità di escalation dei privilegi.

“Ho scoperto diversi modi per disabilitare la sicurezza basata sulla virtualizzazione (VBS) in Windows, incluse funzionalità come Credential Guard e Hypervisor-Protected Code Integrity (HVCI), anche se applicate utilizzando i blocchi UEFI, per quanto ne so, questa è la prima volta I blocchi UEFI vengono aggirati in VBS senza accesso fisico,” ha rivelato Leviev.

“Di conseguenza, sono riuscito a rendere un PC Windows con tutte le patch vulnerabile a migliaia di vulnerabilità precedenti, a trasformare le vulnerabilità persistenti in vulnerabilità impenetrabili e a rendere il termine “con tutte le patch” privo di significato su qualsiasi PC Windows al mondo.”

Come ha affermato Leviev, questo attacco di downgrade non è rilevabile perché non può essere bloccato dalle soluzioni di rilevamento e risposta degli endpoint (EDR) ed è anche invisibile perché Windows Update segnala che il dispositivo è completamente aggiornato (anche se è stato eseguito il downgrade).

Nessuna macchia dopo sei mesi

Leviev Rivelato il suo attacco Windows Downdate Sei mesi dopo che le vulnerabilità furono segnalate a Microsoft a febbraio come parte di un processo di divulgazione responsabile e coordinato.

Microsoft ha dichiarato oggi che sta ancora lavorando a una soluzione per il problema relativo all'elevazione dei privilegi dello stack di Windows Update (CVE-2024-38202) e aumentare il livello di privilegio in modalità Windows Kernel Secure (CVE-2024-21302) vulnerabilità che Leviev ha utilizzato per aumentare i privilegi, creare aggiornamenti dannosi e reintrodurre difetti di sicurezza sostituendo i file di sistema di Windows con versioni precedenti.

Come spiega l’azienda, la vulnerabilità CVE-2024-38202 relativa all’escalation dei privilegi di Windows Backup consente agli aggressori con privilegi utente di base di “annullare” bug di sicurezza precedentemente mitigati o bypassare le funzionalità VBS (Virtualization Based Security). CVE-2024-21302 La vulnerabilità relativa all'escalation dei privilegi può essere sfruttata dagli aggressori con privilegi di amministratore per sostituire i file di sistema di Windows con versioni precedenti e vulnerabili.

Microsoft ha affermato di non essere attualmente a conoscenza di alcun tentativo di sfruttare questa vulnerabilità in natura e ha consigliato di implementare le raccomandazioni condivise in due avvisi di sicurezza pubblicati oggi per contribuire a ridurre il rischio di sfruttamento fino al rilascio di un aggiornamento di sicurezza.

“Sono riuscito a mostrare come sia possibile rendere un computer Windows completamente patchato vulnerabile a migliaia di vulnerabilità precedenti, trasformare le vulnerabilità persistenti in vulnerabilità impenetrabili e rendere il termine 'completamente patchato' privo di significato su qualsiasi computer”, ha affermato Leviev sistema nel mondo.

“Riteniamo che gli impatti siano significativi non solo su Microsoft Windows, il sistema operativo desktop più utilizzato al mondo, ma anche su altri fornitori di sistemi operativi che potrebbero essere vulnerabili agli attacchi di downgrade.”

Aggiornato il 7 agosto, 17:27 EDT: Un portavoce di Microsoft ha inviato la seguente dichiarazione dopo la pubblicazione della storia.

Microsoft ha anche detto a BleepingComputer che sta lavorando a un aggiornamento che sovrascriverà i file di sistema VBS (Virtualization Based Security) legacy e senza patch per mitigare l'attacco. Tuttavia, il test di questo aggiornamento richiederà del tempo a causa dell'elevato numero di file interessati.