El investigador de seguridad de SafeBreach, Alon Leviev, ha publicado su Actualización de Windows herramienta que se puede utilizar para realizar ataques de degradación que reintroducen vulnerabilidades antiguas en sistemas actualizados de Windows 10, Windows 11 y Windows Server.
En tales ataques, los actores de amenazas obligan a los dispositivos objetivo actualizados a volver a versiones de software más antiguas, reintroduciendo así vulnerabilidades de seguridad que pueden explotarse para comprometer el sistema.
Windows Downdate está disponible como un programa basado en Python de código abierto y un ejecutable de Windows precompilado que puede ayudar a degradar los componentes del sistema Windows 10, Windows 11 y Windows Server.
Leviev también ha compartido múltiples Ejemplos de uso que permiten degradar el hipervisor Hyper-V (a una versión de hace dos años), el kernel de Windows, el controlador NTFS y el controlador del Administrador de filtros (a sus versiones base), y otros componentes de Windows y parches de seguridad aplicados previamente.
“Puede usarlo para tomar el control de las actualizaciones de Windows para degradar y exponer vulnerabilidades pasadas provenientes de DLL, controladores, el kernel NT, el kernel seguro, el hipervisor, los trustlets IUM y más”, dijo el investigador de seguridad de SafeBreach, Alon Leviev. explicado.
“Además de las degradaciones personalizadas, Windows Downdate proporciona ejemplos de uso fáciles para revertir parches para CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 y PPLFault, así como ejemplos para degradar el hipervisor, el kernel y eludir los bloqueos UEFI de VBS”.
Como dijo Leviev en Black Hat 2024 cuando reveló el ataque de degradación de Windows Downdate, que explota la CVE-2024-21302 y CVE-2024-38202 vulnerabilidades: el uso de esta herramienta es indetectable porque no puede ser bloqueada por las soluciones de detección y respuesta de puntos finales (EDR) y Windows Update sigue informando que el sistema de destino está actualizado (a pesar de haber sido degradado).
“Descubrí varias formas de desactivar la seguridad basada en virtualización de Windows (VBS), incluidas sus funciones como Credential Guard y Hypervisor-Protected Code Integrity (HVCI), incluso cuando se aplican con bloqueos UEFI. Hasta donde sé, esta es la primera vez que se han anulado los bloqueos UEFI de VBS sin acceso físico”. Leviev dijo.
“Como resultado, pude hacer que una máquina Windows completamente parcheada fuera susceptible a miles de vulnerabilidades pasadas, convirtiendo las vulnerabilidades corregidas en días cero y haciendo que el término “completamente parcheado” no tenga sentido en cualquier máquina Windows del mundo”.
Si bien Microsoft lanzó una actualización de seguridad (KB5041773) para corregir la falla de escalada de privilegios del modo kernel seguro de Windows CVE-2024-21302 el 7 de agosto, la compañía aún no ha proporcionado un parche para CVE-2024-38202, una vulnerabilidad de elevación de privilegios de Windows Update Stack.
Hasta que se publique una actualización de seguridad, Redmond recomienda a los clientes que implementen las recomendaciones compartidas en el Aviso de seguridad publicado a principios de este mes para ayudar a protegerse contra ataques de degradación de Windows Downdate.
Las medidas de mitigación para este problema incluyen configurar los ajustes de “Auditar acceso a objetos” para monitorear los intentos de acceso a archivos, restringir las operaciones de actualización y restauración, usar listas de control de acceso para limitar el acceso a archivos y auditar privilegios para identificar intentos de explotar esta vulnerabilidad.
