На конференции Black Hat 2024 специалист по кибербезопасности Алон Левиев раскрыл информацию о двух новых 0-day уязвимостях в операционных системах Windows. Эти критические уязвимости позволяют проводить так называемые даунгрейд-атаки, в результате которых полностью обновленные системы Windows 10, Windows 11 и Windows Server становятся уязвимыми для ранее исправленных ошибок безопасности.
Механизм работы даунгрейд-атак
Даунгрейд-атаки, также известные как атаки на понижение версии, позволяют злоумышленникам принудительно откатить целевую систему к более старым версиям программного обеспечения. Это приводит к повторному появлению уязвимостей, которые были ранее устранены обновлениями безопасности. В случае обнаруженных Левиевым уязвимостей, атакующие могут заставить процесс Windows Update понизить версии критически важных компонентов операционной системы, включая библиотеки DLL и ядро NT.
Особенности новых уязвимостей
Исследователь обнаружил несколько способов отключения механизмов безопасности Windows VBS (Virtualization Based Security), в том числе Credential Guard и Hypervisor-Protected Code Integrity (HVCI). Примечательно, что эти методы работают даже при наличии блокировок на уровне UEFI. По словам Левиева, это первый известный случай обхода блокировок UEFI в VBS без физического доступа к устройству.
Последствия эксплуатации уязвимостей
Успешная эксплуатация этих уязвимостей позволяет злоумышленникам:
- Сделать полностью обновленную Windows-систему уязвимой для тысяч старых эксплойтов
- Превратить уже исправленные уязвимости в новые 0-day
- Обойти современные механизмы защиты, такие как Credential Guard и HVCI
Особую опасность представляет тот факт, что после проведения даунгрейд-атаки Windows Update продолжает сообщать, что система полностью обновлена и не обнаруживает никаких проблем.
Реакция Microsoft и рекомендации по защите
Microsoft выпустила бюллетени безопасности для этих уязвимостей (CVE-2024-38202 и CVE-2024-21302) и предоставила рекомендации по снижению рисков до выхода официальных патчей. Компания заявляет, что в настоящее время не зафиксировано попыток эксплуатации этих уязвимостей в реальных атаках.
Для защиты от потенциальных атак рекомендуется:
- Внимательно изучить и применить рекомендации из бюллетеней безопасности Microsoft
- Усилить мониторинг систем на предмет подозрительной активности
- Ограничить права пользователей и применять принцип наименьших привилегий
- Регулярно проводить аудит безопасности и проверять целостность системных файлов
Обнаружение этих уязвимостей подчеркивает важность постоянного совершенствования механизмов защиты операционных систем. Пользователям и администраторам Windows-систем следует внимательно следить за выходом официальных патчей от Microsoft и оперативно их устанавливать, чтобы минимизировать риски компрометации систем.
