Експерт з кібербезпеки Алон Левієв виявив дві нові 0-day уразливості в операційних системах Windows, які дозволяють здійснювати небезпечні даунгрейд-атаки. Ці вразливості загрожують навіть повністю оновленим системам Windows 10, Windows 11 та Windows Server, роблячи їх вразливими до старих експлойтів. Розглянемо детальніше ці критичні проблеми безпеки та їх потенційні наслідки.
Механізм даунгрейд-атак на Windows
Даунгрейд-атаки дозволяють зловмисникам змусити оновлену систему повернутися до старіших версій програмного забезпечення, відкриваючи шлях для експлуатації раніше виправлених вразливостей. Левієв продемонстрував, що процес Windows Update можна обманути, змусивши його понизити версії критичних компонентів операційної системи, включаючи бібліотеки DLL та ядро NT. При цьому система продовжує вважати себе повністю оновленою.
Вплив на компоненти безпеки Windows
Дослідник також зміг понизити рівень захисту таких важливих компонентів, як Credential Guard Secure Kernel, Isolated User Mode Process та Hyper-V. Це відкриває можливості для експлуатації старих вразливостей підвищення привілеїв. Особливо небезпечним є те, що Левієву вдалося обійти блокування Virtualization Based Security (VBS) в UEFI без фізичного доступу до пристрою.
Технічні деталі виявлених уразливостей
Microsoft присвоїла виявленим уразливостям ідентифікатори CVE-2024-38202 та CVE-2024-21302. Перша з них пов’язана з підвищенням привілеїв у компоненті Windows Backup. Вона дозволяє зловмисникам з базовими правами скасовувати патчі для раніше виправлених помилок або обходити функції VBS. Адміністратори можуть використовувати цю проблему для підвищення привілеїв та підміни системних файлів Windows на застарілі версії.
Складнощі виявлення та захисту
Особливу небезпеку становить те, що такі даунгрейд-атаки практично неможливо виявити. Вони не блокуються рішеннями EDR, а Windows Update продовжує вважати систему повністю оновленою. Це робить традиційні методи захисту малоефективними проти цієї загрози.
Реакція Microsoft та рекомендації з безпеки
Microsoft підтвердила існування уразливостей і працює над їх усуненням. Компанія опублікувала бюлетені безпеки та рекомендації щодо зниження ризиків до випуску патчів. Хоча активної експлуатації уразливостей поки не виявлено, користувачам та адміністраторам Windows-систем рекомендується уважно слідкувати за оновленнями та дотримуватися рекомендацій Microsoft щодо посилення безпеки.
Виявлення цих уразливостей підкреслює важливість постійного моніторингу та вдосконалення систем безпеки навіть у випадку регулярних оновлень. Організаціям слід переглянути свої стратегії кібербезпеки, звертаючи особливу увагу на захист від даунгрейд-атак та інших складних векторів загроз, які можуть обходити стандартні механізми безпеки.