Windows aggiornato è sicuro? No, un attacco rimuove le patch e vi lascia senza difese

Windows aggiornato è sicuro? No, un attacco rimuove le patch e vi lascia senza difese

Windows Downdate è un attacco messo a punto dal ricercatore di sicurezza Alon Leviev di SafeBreach che rimuove tutti gli aggiornamenti di Windows in modo silenzioso lasciando i PC senza difese. Microsoft sta lavorando a una soluzione.

di pubblicata il , alle 08:11 nel canale Sicurezza
MicrosoftWindows 11Windows 10Windows
 

Il ricercatore di sicurezza Alon Leviev di SafeBreach ha scoperto che il processo di aggiornamento di Windows può essere compromesso, permettendo a malintenzionati di fare il downgrade di componenti critici del sistema operativo, tra cui le dynamic link libraries (DLL) e il kernel NT.

Tramite due falle (CVE-2024-38202 e CVE-2024-21302) è possibile procedere alla rimozione ("unpatch") degli aggiornamenti di sicurezza distribuiti da Microsoft su sistemi Windows 10, Windows 11 e Windows Server, reintroducendo così vecchie falle da sfruttare per intrufolarsi nei sistemi. L'attacco è stato ribattezzato "Windows Downdate".

"Ho scoperto una falla che mi ha permesso di assumere il pieno controllo del processo. Di conseguenza, sono riuscito a creare Windows Downdate, uno strumento che implementa il downgrade degli aggiornamenti e bypassa tutte le fasi di verifica, compresa la verifica dell'integrità e l'applicazione del Trusted Installer", ha spiegato Leviev.

Il problema è che dopo aver compromesso il processo e attuato il downgrade, Windows Update continua a segnalare che il sistema è completamente aggiornato. Inoltre, gli strumenti di ripristino e di scansione non rilevano alcun problema.

"Poi ho puntato più in alto e ho scoperto che anche l'intero stack di virtualizzazione era a rischio. Ho fatto il downgrade di Isolated User Mode Process di Credential Guard, il Secure Kernel e l'hypervisor di Hyper-V per esporre le precedenti vulnerabilità di escalation dei privilegi", aggiunge Leviev.

Non solo, il ricercatore ha identificato diversi modi per disabilitare la sicurezza basata sulla virtualizzazione di Windows (VBS), comprese le sue funzioni come Credential Guard e Hypervisor-Protected Code integrity (HVCI), anche quando vengono applicati blocchi UEFI. "Per quanto ne so, questa è la prima volta che i blocchi UEFI di VBS sono stati aggirati senza accesso fisico", ha aggiunto Leviev.

Di colpo, quindi, un PC Windows completamente aggiornato è ritornato suscettibile a migliaia di vulnerabilità passate: un problema enorme.

Leviev ha reso noto il suo attacco sei mesi dopo aver segnalato le vulnerabilità a Microsoft (a febbraio), nell'ambito di un processo coordinato di divulgazione responsabile.

Microsoft ha dichiarato di non essere al momento a conoscenza di tentativi di sfruttamento di questa vulnerabilità. "Apprezziamo il lavoro di SafeBreach nell'identificare e segnalare responsabilmente questa vulnerabilità attraverso una divulgazione coordinata delle vulnerabilità. Stiamo sviluppando attivamente delle mitigazioni per proteggerci da questi rischi, seguendo un ampio processo che prevede un'indagine approfondita, lo sviluppo di aggiornamenti per tutte le versioni interessate e test di compatibilità, per garantire la massima protezione dei clienti e ridurre al minimo le interruzioni operative", ha fatto sapere un portavoce.

La casa di Redmond sta anche lavorando a un aggiornamento che revoca i file di sistema VBS (Virtualization Based Security) obsoleti e privi di patch per mitigare l'attacco. Tuttavia, ci vorrà del tempo per testare questo update a causa dell'elevato numero di file interessati.

37 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
UtenteHD08 Agosto 2024, 09:03 #1
Cavolo non mi aspettavo una cosa del genere, si spera la fixino presto.
Win non e' di certo sicuro, come non e' sicuro ogni altro SO ed ogni altro software/hardware.
Cominciamo a non cliccare si su tutto quello che ci arriva. HAHA
h.rorschach08 Agosto 2024, 09:17 #2
Fa 'sto favore gratis? Ammirevole
Saturn08 Agosto 2024, 09:22 #3
Originariamente inviato da: h.rorschach
Fa 'sto favore gratis? Ammirevole


La versione freeware del tool è già ammirevole, ma ho parlato con lo sviluppatore e mi ha anticipato grandissime novità...nella prossima release il tool sarà in grado di riportare Windows anche alle edizioni precedenti...anche se mai state presenti nel computer in questione...windows 11 potrà essere downgradato senza problemi, nella migliore delle ipotesi fino a Windows NT, rigorosamente service pack free !

Scherzi a parte speriamo in rapide contromisure, per altro già annunciate da quello che leggo nella notizia, da parte di Microsoft, soprattutto adesso che la notizia è stata resa di pubblico dominio.
vash7908 Agosto 2024, 09:23 #4
Molti ricercatori avvisano i produttori, non solo Windows, di falle che trovano nelle loro ricerche, non è una novità.
Quanto a Windows update saranno cambiate le modalità ma non è una novità. Ai tempi di Windows 2000 ricordo che mi collegavo a internet, lanciavo gli aggiornamenti e dopo qualche minuto il computer cominciava a riavviarsi...circolavano due simpaticoni chiamati Blaster e Sasser.
Saturn08 Agosto 2024, 09:27 #5
Originariamente inviato da: vash79
Molti ricercatori avvisano i produttori, non solo Windows, di falle che trovano nelle loro ricerche, non è una novità.
Quanto a Windows update saranno cambiate le modalità ma non è una novità. Ai tempi di Windows 2000 ricordo che mi collegavo a internet, lanciavo gli aggiornamenti e dopo qualche minuto il computer cominciava a riavviarsi...circolavano due simpaticoni chiamati Blaster e Sasser.


Mi hai fatto scendere una lacrimuccia...quanti ricordi !
vash7908 Agosto 2024, 09:32 #6
Originariamente inviato da: Saturn
Mi hai fatto scendere una lacrimuccia...quanti ricordi !


un altro giovinotto come me
piwi08 Agosto 2024, 09:42 #7
Originariamente inviato da: h.rorschach
Fa 'sto favore gratis? Ammirevole


La stessa cosa che ho pensato io
xxxyyy08 Agosto 2024, 11:02 #8
Non ho capito come si incappa in questo problema? Semplicemente navigando?
barzokk08 Agosto 2024, 11:34 #9
Originariamente inviato da: xxxyyy
Non ho capito come si incappa in questo problema? Semplicemente navigando?

Accendendo il pc

PS: ah ma un momento, con "problema" intendi Windows, o il malware ?
The_ouroboros08 Agosto 2024, 12:03 #10
basta non usare Windows.
Se non lo usi non hai debolezze

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^