Windows aggiornato è sicuro? No, un attacco rimuove le patch e vi lascia senza difese

Windows Downdate è un attacco messo a punto dal ricercatore di sicurezza Alon Leviev di SafeBreach che rimuove tutti gli aggiornamenti di Windows in modo silenzioso lasciando i PC senza difese. Microsoft sta lavorando a una soluzione.
di Manolo De Agostini pubblicata il 08 Agosto 2024, alle 08:11 nel canale SicurezzaMicrosoftWindows 11Windows 10Windows
Il ricercatore di sicurezza Alon Leviev di SafeBreach ha scoperto che il processo di aggiornamento di Windows può essere compromesso, permettendo a malintenzionati di fare il downgrade di componenti critici del sistema operativo, tra cui le dynamic link libraries (DLL) e il kernel NT.
Tramite due falle (CVE-2024-38202 e CVE-2024-21302) è possibile procedere alla rimozione ("unpatch") degli aggiornamenti di sicurezza distribuiti da Microsoft su sistemi Windows 10, Windows 11 e Windows Server, reintroducendo così vecchie falle da sfruttare per intrufolarsi nei sistemi. L'attacco è stato ribattezzato "Windows Downdate".
"Ho scoperto una falla che mi ha permesso di assumere il pieno controllo del processo. Di conseguenza, sono riuscito a creare Windows Downdate, uno strumento che implementa il downgrade degli aggiornamenti e bypassa tutte le fasi di verifica, compresa la verifica dell'integrità e l'applicazione del Trusted Installer", ha spiegato Leviev.
Il problema è che dopo aver compromesso il processo e attuato il downgrade, Windows Update continua a segnalare che il sistema è completamente aggiornato. Inoltre, gli strumenti di ripristino e di scansione non rilevano alcun problema.
"Poi ho puntato più in alto e ho scoperto che anche l'intero stack di virtualizzazione era a rischio. Ho fatto il downgrade di Isolated User Mode Process di Credential Guard, il Secure Kernel e l'hypervisor di Hyper-V per esporre le precedenti vulnerabilità di escalation dei privilegi", aggiunge Leviev.
Non solo, il ricercatore ha identificato diversi modi per disabilitare la sicurezza basata sulla virtualizzazione di Windows (VBS), comprese le sue funzioni come Credential Guard e Hypervisor-Protected Code integrity (HVCI), anche quando vengono applicati blocchi UEFI. "Per quanto ne so, questa è la prima volta che i blocchi UEFI di VBS sono stati aggirati senza accesso fisico", ha aggiunto Leviev.
Di colpo, quindi, un PC Windows completamente aggiornato è ritornato suscettibile a migliaia di vulnerabilità passate: un problema enorme.
Leviev ha reso noto il suo attacco sei mesi dopo aver segnalato le vulnerabilità a Microsoft (a febbraio), nell'ambito di un processo coordinato di divulgazione responsabile.
Microsoft ha dichiarato di non essere al momento a conoscenza di tentativi di sfruttamento di questa vulnerabilità. "Apprezziamo il lavoro di SafeBreach nell'identificare e segnalare responsabilmente questa vulnerabilità attraverso una divulgazione coordinata delle vulnerabilità. Stiamo sviluppando attivamente delle mitigazioni per proteggerci da questi rischi, seguendo un ampio processo che prevede un'indagine approfondita, lo sviluppo di aggiornamenti per tutte le versioni interessate e test di compatibilità, per garantire la massima protezione dei clienti e ridurre al minimo le interruzioni operative", ha fatto sapere un portavoce.
La casa di Redmond sta anche lavorando a un aggiornamento che revoca i file di sistema VBS (Virtualization Based Security) obsoleti e privi di patch per mitigare l'attacco. Tuttavia, ci vorrà del tempo per testare questo update a causa dell'elevato numero di file interessati.
37 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoWin non e' di certo sicuro, come non e' sicuro ogni altro SO ed ogni altro software/hardware.
Cominciamo a non cliccare si su tutto quello che ci arriva. HAHA
La versione freeware del tool è già ammirevole, ma ho parlato con lo sviluppatore e mi ha anticipato grandissime novità...nella prossima release il tool sarà in grado di riportare Windows anche alle edizioni precedenti...anche se mai state presenti nel computer in questione...windows 11 potrà essere downgradato senza problemi, nella migliore delle ipotesi fino a Windows NT, rigorosamente service pack free !
Scherzi a parte speriamo in rapide contromisure, per altro già annunciate da quello che leggo nella notizia, da parte di Microsoft, soprattutto adesso che la notizia è stata resa di pubblico dominio.
Quanto a Windows update saranno cambiate le modalità ma non è una novità. Ai tempi di Windows 2000 ricordo che mi collegavo a internet, lanciavo gli aggiornamenti e dopo qualche minuto il computer cominciava a riavviarsi...circolavano due simpaticoni chiamati Blaster e Sasser.
Quanto a Windows update saranno cambiate le modalità ma non è una novità. Ai tempi di Windows 2000 ricordo che mi collegavo a internet, lanciavo gli aggiornamenti e dopo qualche minuto il computer cominciava a riavviarsi...circolavano due simpaticoni chiamati Blaster e Sasser.
Mi hai fatto scendere una lacrimuccia...quanti ricordi !
un altro giovinotto come me
La stessa cosa che ho pensato io
Accendendo il pc
PS: ah ma un momento, con "problema" intendi Windows, o il malware ?
Se non lo usi non hai debolezze
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".