Un nou atac de tip Downgrade la Windows
Sursă: https://cybersecuritynews.com
Specialiștii în securitate au identificat recent un nou atac de tip Windows Downgrade, ce le permite atacatorilor să facă downgrade și să exploateze sistemele actualizate.
Instrumentul Windows Downdate manipulează Windows Update pentru a realiza downgrade-uri asupra componentelor esențiale ale sistemului de operare ce au reintegrat în mod eficient vulnerabilități remediate anterior.
În timp ce Microsoft a remediat CVE-2024-21302 (o vulnerabilitate de escaladare a privilegiilor ce afectează virtualizarea Windows), componenta Windows Update compromisă rămâne neactualizată, deoarece executarea codului Administrator-to-kernel este clasificată ca o încălcare a limitelor de securitate.
Această exploatare a folosit acest lucru pentru a ocoli DSE, permițând driverelor de kernel nesemnate să se încarce prin intermediul exploit-ului ItsNotASecurityBoundary.
Mai exact, prin downgrade-ul ci.dll la versiunea 10.0.22621.1376 pe sisteme Windows 11 23h2, persoanele rău intenționate pot evita măsurile de protecție VBS, chiar și cele impuse prin EUFI locks.
Acest lucru permite implementarea de rootkit-uri capabile să ascundă procese malițioase și activități de rețea.
Atacul reușește fie prin modificarea cheilor de registry (pentru configurațiile standard VBS), fie prin invalidarea SecureKernel.exe (pentru sistemele UEFI-blocate), care arată o vulnerabilitate critică în arhitectura de securitate a Windows-ului ce permite sistemelor complet actualizate să fie compromise prin downgrade-uri controlate ale componentelor.
Windows VBS implementează o funcție de securitate critică care poate fi îmbunătățită prin două mecanisme cheie care sunt configurabile prin Windows Registry sau Local Group Policy Editor:
- UEFI Lock;
- Mandatory flag.
Pentru a stabili măsuri sporite, administratorii de sistem trebuie să activeze atât UEFI Lock (folosind: reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard /v Locked /t REG_DWORD /d 1 /f), cât și indicatorul Mandatory flag (folosind reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard /v Obligatoriu /t REG_DWORD /d 1 /f).
Acestea trebuie urmate de o repornire a sistemului pentru a preveni compromiterea nucleului prin atacuri de downgrade.
Sursă: https://cybersecuritynews.com/windows-downgrade-attack/
