Исследователь по безопасности SafeBreach Алон Левиев выпустил свой инструмент Windows Downdate, который можно использовать для атак «понижения версии». Эти атаки позволяют возвращать старые уязвимости в современные системы Windows 10, 11 и Windows Server.
Windows Downdate доступен на GitHub как программа с открытым исходным кодом на основе Python и предварительно скомпилированный исполняемый файл Windows.
Левиев также поделился несколькими примерами использования, в которых он откатил версии гипервизора Hyper-V (до 2022 года), ядра Windows, драйвера NTFS и драйвера Filter Manager (до базовых), а также других компонентов Windows.
«Помимо этого, Windows Downdate предлагает откат исправлений для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault», — пояснил Левиев.
Как рассказал эксперт на Black Hat 2024, он раскрыл атаку понижения версии Windows Downdate, которая использует уязвимости CVE-2024-21302 и CVE-2024-38202. При этом использование инструмента невозможно обнаружить, поскольку его нельзя заблокировать решениями обнаружения и реагирования конечных точек (EDR), а Центр обновления Windows продолжает сообщать, что целевая система обновлена.
«Я обнаружил несколько способов отключить безопасность на основе виртуализации Windows (VBS), включая такие функции, как Credential Guard и Hypervisor-Protected Code integrity (HVCI), даже при использовании блокировок UEFI. Насколько мне известно, это первый случай обхода блокировок UEFI VBS без физического доступа. В результате мне удалось сделать полностью пропатченную машину Windows уязвимой для тысяч прошлых багов, превратив исправленные уязвимости в уязвимости нулевого дня и сделав термин “полностью пропатченная” бессмысленным для любой системы Windows в мире», — подчеркнул Левиев.
Хотя Microsoft выпустила обновление безопасности (KB5041773) 7 августа для исправления уязвимости повышения привилегий Windows Secure Kernel Mode CVE-2024-21302, компания пока не представила исправление для CVE-2024-38202, уязвимости повышения привилегий Windows Update Stack. Компания советует клиентам применять рекомендации по безопасности, опубликованные ранее в этом месяце, чтобы защититься от атак понижения версии. Они включают настройку параметров «Аудит доступа к объектам» для отслеживания попыток доступа к файлам, ограничение операций обновления и восстановления, использование списков контроля доступа для его ограничения к файлам и аудит привилегий для выявления попыток использования этой уязвимости.
Источник: habr.com
