Windows Downdate, ecco come rimuovere patch da Windows per esporre vecchie vulnerabilità di sicurezza

Un ricercatore di sicurezza realizza uno strumento che permette di rimuovere aggiornamenti e patch in maniera estremamente selettiva, senza lasciare alcuna traccia
di Andrea Bai pubblicata il 28 Agosto 2024, alle 12:41 nel canale SicurezzaWindows
Il ricercatore di sicurezza Alon Leviev di SafeBreach ha creato e reso disponibile Windows Downdate, un programma open source basato su Python (disponibile anche come eseguibile Windows) che permette di effettuare il "downgrade" di sistemi Windows 10, Windows 11 e Windows Server, riportandoli a versioni precedenti.
Questo processo, che apparentemente sembra innocuo e, anzi, qualcuno potrebbe trovare addirittura utile nel ripristinare uno status quo precedente ad un aggiornamento che ha causato qualche grattacapo o problema, ha però implicazioni ben più profonde e potenzialmente gravi: il "downgrade" può infatti reintrodurre vulnerabilità di sicurezza precedentemente corrette, trasformando potenzialmente ogni macchina Windows in un bersaglio facile per gli hacker.
E tutto ciò assume tinte ancor più fosche per il fatto che l'uso di Windows Downdate è praticamente invisibile. Le soluzioni di rilevamento e risposta degli endpoint (EDR) non possono bloccarlo, e per di più Windows Update continua a segnalare il sistema come aggiornato, anche dopo il downgrade.
If you have not checked it out yet, Windows Downdate tool is live! You can use it to take over Windows Updates to downgrade and expose past vulnerabilities sourced in DLLs, drivers, the NT kernel, the Secure Kernel, the Hypervisor, IUM trustlets and more!https://t.co/59DRIvq6PZ
— Alon Leviev (@_0xDeku) August 25, 2024
L'efficacia di Windows Downdate è stata dimostrata dallo stesso Leviev in occasione della conferenza Black Hat 2024, grazie allo sfruttamento delle due vulnerabilità critiche CVE-2024-21302 e CVE-2024-38202 per il funzionamento del meccanismo. Leviev ha spiegato come Windows Downdate possa disabilitare funzionalità di sicurezza avanzate come la sicurezza basata sulla virtualizzazione (VBS), Credential Guard e Hypervisor-Protected Code Integrity (HVCI), persino quando queste sono protette da blocchi UEFI.
"Questo cambia le regole del gioco. Possiamo prendere una macchina Windows completamente aggiornata e renderla vulnerabile a migliaia di falle del passato. È come trasformare vulnerabilità risolte in zero-day, rendendo il concetto di 'sistema completamente patchato' privo di significato su qualsiasi macchina Windows al mondo" ha spiegato Leviev.
Lo studio attorno a Windows Downdate, che rappresenta di fatto un proof of concept dello sfruttamento delle due vulnerabilità precedentemente citate, ha avuto lo scopo di approfondire il funzionamento del processo di Windows Update per identificare in quale modo possa essere manipolato per rendere possibile un attacco di downgrade.
Windows Downdate può essere utilizzato per effettuare il downgrade di componenti critici come l'hypervisor Hyper-V, il kernel di Windows, il driver NTFS e il driver Filter Manager. Può persino rimuovere patch di sicurezza specifiche, esponendo il sistema a vulnerabilità note e già corrette in passato.
Microsoft, che è stata messa a conoscenza del problema nel corso del
mese di febbraio secondo i principi di divulgazione responsabile, ha
rilasciato l'aggiornamento
di sicurezza KB5041773 che va a correggere la vulnerabilità
CVE-2024-21302, ma al momento CVE-2024-38202 rimane ancora senza patch. In
attesa di una soluzione definitiva, l'azienda ha pubblicato un avviso
di sicurezza con raccomandazioni per mitigare il rischio.
Tra le misure consigliate ci sono la configurazione delle impostazioni
"Audit Object Access" per monitorare i tentativi di accesso ai file, la
limitazione delle operazioni di aggiornamento e ripristino, l'utilizzo di
Access Control List per limitare l'accesso ai file e l'audit dei privilegi
per identificare i tentativi di sfruttamento.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoE ci sarebbe da festeggiare?....
Appunto... come scrive @, magari in background effettuato da un software malevolo...
cwd = os.getcwd()
os.environ["CWD"] = cwd
init_logger()
args = parse_args()
logger.info("Starting Windows-Downdate"
if not is_administrator():
raise Exception("Windows-Downdate must be run as an Administrator"
[/PHP]
Ripeto quanto già detto quando questa è stata dichiarata, non capisco il clamore di questa vulnerabilità. Devi essere amministratore per sfruttarla, ci sono modi molto meno complicati per trasformare in zombie un computer invece di reinstallare vecchie vulnerabilità per poterle sfruttare e riottenere i privilegi di amministrazione.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".