Исследователь выпустил инструмент Windows Downdate

28 августа 2024, 14:59 / Технологии → Новости / Технологии

На Black Hat 2024 исследователь SafeBreach Анон Левиев продемонстрировал инструмент, который может молча отменять исправления безопасности, установленные на компьютерах под управлением Windows 10, Windows 11 и Windows Server. С помощью такой атаки с понижением версии злоумышленники могут повторно ввести старые уязвимости безопасности. Несколько месяцев спустя Левиев выпустил этот инструмент в виде программы на основе Python с открытым исходным кодом и предварительно скомпилированного исполняемого файла Windows.

Используя инструмент, названный Windows Downdate, можно обойти части Windows Update, чтобы создать пользовательские пакеты понижения версии. Затем они раскрывают прошлые уязвимости безопасности и позволяют пользователям скомпрометировать эти системы, как будто они изначально не были исправлены.

Инструмент Левиева использует уязвимости CVE-2024-21302 и CVE-2024-38202. Его использование невозможно обнаружить, поскольку решения обнаружения и реагирования на конечные точки (EDR) не могут его заблокировать. Более того, Центр обновления Windows продолжает сообщать, что целевая система обновлена, хотя на самом деле она была понижена.

Вместе с самим инструментом Левиев привел несколько примеров его использования. В этих примерах пользователи могут понизить версию гипервизора Hyper-V до двухлетней давности. В примерах также объясняется, как вернуть ядро Windows, драйвер NTFS и драйвер Filter Manager к их исходным версиям. Инструкции также охватывают понижение версии других компонентов Windows и ранее примененных исправлений безопасности.

Исследователь безопасности также призвал других использовать этот инструмент для «дальнейшего исследования и поиска дополнительных уязвимостей».

Microsoft

Microsoft Corporation (произносится «ма́йкрософт»; как правило, именуется просто Microsoft; распространено сокращение MS) — одна из крупнейших транснациональных компаний по производству проприетарного программного обеспечения для различного рода вычислительной техники — персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы — семейства операционных систем Windows. Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т. д.). C 2012 года производит собственный планшетный компьютер — Surface. Википедия

выпустила обновление безопасности 7 августа для устранения уязвимости повышения привилегий Windows Secure Kernel Mode CVE-2024-21302. Однако пока нет исправления для CVE-2024-38202, уязвимости повышения привилегий Windows Update Stack.

Пока Microsoft не выпустит обновление безопасности для CVE-2024-38202, компания заявляет, что пользователям следует следовать рекомендациям, изложенным в совете по безопасности, выпущенном ранее в этом месяце, чтобы защититься от атак с понижением версии Windows Downdate.

Эти рекомендации включают настройку параметров «Аудит доступа к объектам» для отслеживания попыток доступа к файлам, ограничение операций обновления и восстановления, использование списков контроля доступа для ограничения доступа к файлам и проведение регулярных аудитов для выявления попыток эксплуатации уязвимости.

Источник: Tomshardware.com