Atak typu downgrade w systemie Windows Update: Jak w pełni zaktualizowane systemy stają się podatne na zagrożenia

Podczas konferencji Black Hat 2024, Alon Leviev, badacz ds. bezpieczeństwa z firmy SafeBreach, ujawnił dwa krytyczne luki typu zero-day, które mogą być wykorzystane do obniżania wersji systemów operacyjnych Windows. Ten typ ataku, nazywany „Windows Downdate”, pozwala na „odłatanie” w pełni zaktualizowanych systemów Windows 10, Windows 11 oraz Windows Server, przywracając wcześniejsze, już naprawione luki w zabezpieczeniach.

Jak działa atak typu downgrade?

Atak typu downgrade polega na zmuszeniu systemu operacyjnego do przywrócenia starszych wersji oprogramowania. W wyniku tego procesu wcześniej załatane luki w zabezpieczeniach mogą ponownie się pojawić, czyniąc system podatnym na ataki. Co więcej, usługa Windows Update, pomimo dokonania downgrade'u, w dalszym ciągu sygnalizuje, że system jest w pełni zaktualizowany, co czyni ten atak wyjątkowo trudnym do wykrycia.

Luka w systemie Windows Update

Alon Leviev wykazał, że proces aktualizacji systemu Windows może zostać wykorzystany do obniżenia wersji krytycznych komponentów systemu, takich jak biblioteki DLL, jądro NT, a także Secure Kernel i Isolated User Mode Process, które są kluczowe dla bezpieczeństwa systemu. Dzięki tym lukom atakujący mogą m.in. obniżyć wersję hiperwizora Hyper-V, co otwiera drzwi do dalszych ataków, takich jak eskalacja uprawnień.

Leviev zauważył również, że za pomocą tych luk można wyłączyć zabezpieczenia oparte na wirtualizacji (VBS), w tym funkcje takie jak Credential Guard i Hypervisor-Protected Code Integrity (HVCI), nawet w przypadku, gdy są one zabezpieczone blokadami UEFI. To pierwszy przypadek, kiedy blokady UEFI VBS zostały ominięte bez fizycznego dostępu do urządzenia.

Konsekwencje ataku

Atak typu downgrade ma poważne implikacje. Leviev podkreśla, że w jego wyniku systemy, które były uważane za w pełni zaktualizowane i zabezpieczone, stają się podatne na tysiące wcześniejszych luk w zabezpieczeniach. W efekcie, termin „w pełni załatana” traci swoje znaczenie, gdyż żadna maszyna z systemem Windows na świecie nie może być uznana za całkowicie bezpieczną.

Reakcja Microsoftu

Firma Microsoft wydała ostrzeżenia dotyczące tych luk, oznaczonych jako CVE-2024-38202 i CVE-2024-21302, oraz udzieliła porad dotyczących ograniczania ryzyka do czasu wydania stosownych poprawek. Microsoft przyznał, że prace nad rozwiązaniem tych problemów są w toku, jednak ich naprawa wymaga szczegółowego testowania, ze względu na ogromną liczbę plików systemowych, które muszą zostać zaktualizowane.

Firma Microsoft poinformowała również, że aktualnie nie ma dowodów na aktywne wykorzystanie tych luk, jednak zaleca wdrożenie opublikowanych zaleceń dotyczących bezpieczeństwa w celu zminimalizowania ryzyka. W międzyczasie użytkownicy są proszeni o śledzenie dalszych komunikatów i oczekiwanie na oficjalne poprawki, które przywrócą bezpieczeństwo systemów operacyjnych Windows.

Atak typu downgrade, ujawniony przez Alona Levieva, ukazuje potencjalnie niebezpieczne luki w systemie Windows, które mogą być wykorzystywane do przywracania starych, podatnych na ataki wersji oprogramowania. Jest to poważne zagrożenie, które wymaga pilnych działań ze strony Microsoftu i świadczy o potrzebie ciągłego monitorowania i aktualizowania systemów zabezpieczeń w dynamicznie zmieniającym się środowisku cyberzagrożeń.

Podsumowując, atak typu downgrade w systemie Windows Update pokazuje, jak łatwo nawet w pełni zaktualizowane systemy mogą stać się podatne na poważne zagrożenia. Jeśli prowadzisz firmę, niezwykle ważne jest, aby Twoje systemy były nie tylko aktualizowane, ale także monitorowane przez ekspertów. Skorzystanie z  usług informatycznych we Wrocławiu może pomóc w zapewnieniu, że wszystkie potencjalne zagrożenia zostaną szybko zidentyfikowane i zneutralizowane. Profesjonalny outsourcing IT we Wrocławiu zapewni, że Twoje systemy będą bezpieczne i sprawne, a odpowiednia opieka informatyczna we Wrocławiu zagwarantuje, że firma pozostanie odporna na wszelkie cyberataki.