Шокирующий доклад на конференции Black Hat демонстрирует новые пути для эксплуатации уязвимостей.
На конференции Black Hat 2024, которая прямо сейчас (7 и 8 августа) проходит в Лас-Вегасе, исследователь безопасности Алон Левиев из компании SafeBreach раскрыл две новые уязвимости нулевого дня (zero-day), которые могут быть использованы в так называемых Downgrade-атаках для отката операционных систем Windows 10, 11 и Server до старых версий с последующей эксплуатацией уже исправленных недостатков безопасности.
Разумеется, Левиев придерживался политики ответственного раскрытия и заранее уведомил Microsoft о наличии брешей. Тем не менее, уязвимости, получившие идентификаторы CVE-2024-38202 и CVE-2024-21302, пока не были исправлены, хоть компания и предоставила определённые рекомендации для смягчения последствий (доступны по ссылкам выше).
Downgrade-атаки позволяют злоумышленникам заставить обновлённое устройство вернуться к более старым версиям программного обеспечения, восстанавливая старые недостатки безопасности, которые могут быть использованы для компрометации системы.
Левиев выявил, что процесс обновления Windows может быть скомпрометирован для понижения версий критических компонентов ОС, таких как библиотеки DLL и ядро NT. И хотя после совершения атаки данные компоненты фактически будут устаревшими, Windows Update все равно сообщит, что система полностью обновлена, а инструменты восстановления и сканирования не фиксируют никаких проблем.
Левиев также обнаружил способы отключения функции виртуализации Windows (VBS), включая Credential Guard и Hypervisor-Protected Code Integrity (HVCI), даже при использовании UEFI-записей. По словам исследователя, это первый случай обхода UEFI-записей без физического доступа к устройству.
Эксперт отметил, что данный вид атак не обнаруживается решениями для защиты конечных точек (EDR) и невидим для Windows Update, что делает его особенно опасным. Левиев подчеркнул, что уязвимость делает термин «полностью обновлённый» бессмысленным для любой машины с Windows, подвергая её тысячам ранее исправленных уязвимостей.
Левиев представил атаку под названием «Windows Downdate» через шесть месяцев после сообщения об уязвимостях в Microsoft. Компания подтвердила, что работает над их исправлением, однако рабочего патча пока выпущено не было.
Microsoft заявила, что ей неизвестно о попытках эксплуатации данных уязвимостей в реальных условиях и порекомендовала следовать рекомендациям, опубликованным в двух памятках по безопасности, чтобы снизить риск эксплуатации до выхода обновления.
Левиев отметил, что последствия этих уязвимостей значительны не только для Windows, но и для других операционных систем, которые могут быть уязвимы для подобных атак с понижением версий.
Представители Microsoft поблагодарили SafeBreach за выявление и ответственное сообщение об уязвимости. Компания работает над разработкой мер по защите от этих рисков, включая создание обновления, которое отзовёт устаревшие, незащищённые системные файлы Virtualization Based Security (VBS). Однако, процесс тестирования обновления займёт время из-за большого количества затронутых файлов.
Никаких овечек — только отборные научные факты