Windows Downdate, ecco come rimuovere patch da Windows per esporre vecchie vulnerabilità di sicurezza

Windows Downdate, ecco come rimuovere patch da Windows per esporre vecchie vulnerabilità di sicurezza

Un ricercatore di sicurezza realizza uno strumento che permette di rimuovere aggiornamenti e patch in maniera estremamente selettiva, senza lasciare alcuna traccia

di pubblicata il , alle 12:41 nel canale Sicurezza
Windows
 

Il ricercatore di sicurezza Alon Leviev di SafeBreach ha creato e reso disponibile Windows Downdate, un programma open source basato su Python (disponibile anche come eseguibile Windows) che permette di effettuare il "downgrade" di sistemi Windows 10, Windows 11 e Windows Server, riportandoli a versioni precedenti.

Questo processo, che apparentemente sembra innocuo e, anzi, qualcuno potrebbe trovare addirittura utile nel ripristinare uno status quo precedente ad un aggiornamento che ha causato qualche grattacapo o problema, ha però implicazioni ben più profonde e potenzialmente gravi: il "downgrade" può infatti reintrodurre vulnerabilità di sicurezza precedentemente corrette, trasformando potenzialmente ogni macchina Windows in un bersaglio facile per gli hacker.

E tutto ciò assume tinte ancor più fosche per il fatto che l'uso di Windows Downdate è praticamente invisibile. Le soluzioni di rilevamento e risposta degli endpoint (EDR) non possono bloccarlo, e per di più Windows Update continua a segnalare il sistema come aggiornato, anche dopo il downgrade.

L'efficacia di Windows Downdate è stata dimostrata dallo stesso Leviev in occasione della conferenza Black Hat 2024, grazie allo sfruttamento delle due vulnerabilità critiche CVE-2024-21302 e CVE-2024-38202 per il funzionamento del meccanismo. Leviev ha spiegato come Windows Downdate possa disabilitare funzionalità di sicurezza avanzate come la sicurezza basata sulla virtualizzazione (VBS), Credential Guard e Hypervisor-Protected Code Integrity (HVCI), persino quando queste sono protette da blocchi UEFI.

"Questo cambia le regole del gioco. Possiamo prendere una macchina Windows completamente aggiornata e renderla vulnerabile a migliaia di falle del passato. È come trasformare vulnerabilità risolte in zero-day, rendendo il concetto di 'sistema completamente patchato' privo di significato su qualsiasi macchina Windows al mondo" ha spiegato Leviev.

Lo studio attorno a Windows Downdate, che rappresenta di fatto un proof of concept dello sfruttamento delle due vulnerabilità precedentemente citate, ha avuto lo scopo di approfondire il funzionamento del processo di Windows Update per identificare in quale modo possa essere manipolato per rendere possibile un attacco di downgrade.

Windows Downdate può essere utilizzato per effettuare il downgrade di componenti critici come l'hypervisor Hyper-V, il kernel di Windows, il driver NTFS e il driver Filter Manager. Può persino rimuovere patch di sicurezza specifiche, esponendo il sistema a vulnerabilità note e già corrette in passato.

Microsoft, che è stata messa a conoscenza del problema nel corso del mese di febbraio secondo i principi di divulgazione responsabile, ha rilasciato l'aggiornamento di sicurezza KB5041773 che va a correggere la vulnerabilità CVE-2024-21302, ma al momento CVE-2024-38202 rimane ancora senza patch. In attesa di una soluzione definitiva, l'azienda ha pubblicato un avviso di sicurezza con raccomandazioni per mitigare il rischio.

Tra le misure consigliate ci sono la configurazione delle impostazioni "Audit Object Access" per monitorare i tentativi di accesso ai file, la limitazione delle operazioni di aggiornamento e ripristino, l'utilizzo di Access Control List per limitare l'accesso ai file e l'audit dei privilegi per identificare i tentativi di sfruttamento.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
matrix8328 Agosto 2024, 13:59 #1
Non ha molto senso come tool in se, se non per l'utilità da PoF. Nel senso, se hai accesso fisico alla macchina per usarlo, a quel punto puoi già aprire vecchie falle o meglio ancora nuove undetected. Va bene come PoF, ma non crea nessun nuovo problema che esistesse già.
filippo198028 Agosto 2024, 14:58 #2
Scusa Matrix83 ma, essendo un codice opensource in python, non potrebbe essere integrato in un altro software malevolo che prima toglie la patch e poi lancia il codice per fare danni?
giovanni6928 Agosto 2024, 15:08 #3
"Questo cambia le regole del gioco. Possiamo prendere una macchina Windows completamente aggiornata e renderla vulnerabile a migliaia di falle del passato. È come trasformare vulnerabilità risolte in zero-day, rendendo il concetto di 'sistema completamente patchato' privo di significato su qualsiasi macchina Windows al mondo"

E ci sarebbe da festeggiare?....

Appunto... come scrive @, magari in background effettuato da un software malevolo...
destroyer8528 Agosto 2024, 19:36 #4
[PHP]def main() -> None:
cwd = os.getcwd()
os.environ["CWD"] = cwd
init_logger()
args = parse_args()

logger.info("Starting Windows-Downdate"

if not is_administrator():
raise Exception("Windows-Downdate must be run as an Administrator"
[/PHP]


Ripeto quanto già detto quando questa è stata dichiarata, non capisco il clamore di questa vulnerabilità. Devi essere amministratore per sfruttarla, ci sono modi molto meno complicati per trasformare in zombie un computer invece di reinstallare vecchie vulnerabilità per poterle sfruttare e riottenere i privilegi di amministrazione.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^