Инструмент Windows Downdate позволяет «распаковывать» системы Windows

Исследователь безопасности из компании SafeBreach Алон Левиев выпустил инструмент Windows Downdate, который можно использовать для атак на понижение версии, возвращающих старые уязвимости в современные системы Windows 10, Windows 11 и Windows Server.

В ходе таких атак участники угроз заставляют современные целевые устройства вернуться к старым версиям программного обеспечения, что приводит к появлению уязвимостей, которые могут быть использованы для компрометации системы.

Windows Downdate - это программа на базе Python с открытым исходным кодом и предварительно скомпилированный исполняемый файл Windows, который может помочь понизить версию компонентов систем Windows 10, Windows 11 и Windows Server.

Леваев также поделился несколькими примерами использования, которые позволяют понизить гипервизор Hyper-V (до версии двухлетней давности), ядро Windows, драйвер NTFS и драйвер Filter Manager (до их базовых версий), а также другие компоненты Windows и ранее примененные исправления безопасности.

«С его помощью вы можете взять на себя управление обновлениями Windows, чтобы понизить рейтинг и раскрыть прошлые уязвимости, содержащиеся в библиотеках DLL, драйверах, ядре NT, ядре Secure Kernel, гипервизоре, трастлетах IUM и многом другом», - пояснил исследователь безопасности SafeBreach Алон Левиев.

«Кроме пользовательских понижений, Windows Downdate предоставляет простые в использовании примеры отмены патчей для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault, а также примеры понижения гипервизора, ядра и обхода блокировок VBS в UEFI».

Do you have in mind any additional Windows components that may be vulnerable to downgrades? Use Windows Downdate for further research and to find additional vulnerabilities!

— Alon Leviev (@_0xDeku) August 25, 2024

Как сказал Левиев на Black Hat 2024, раскрывая атаку на понижение версии Windows Downdate, которая использует уязвимости CVE-2024-21302 и CVE-2024-38202, использование этого инструмента невозможно обнаружить, поскольку его не могут заблокировать решения для обнаружения и реагирования на конечные точки (EDR), а Windows Update продолжает сообщать, что целевая система обновлена (несмотря на понижение версии).

«Я обнаружил несколько способов отключения системы безопасности Windows на основе виртуализации (VBS), включая такие ее функции, как Credential Guard и Hypervisor-Protected Code Integrity (HVCI), даже при использовании блокировок UEFI. Насколько мне известно, это первый случай, когда блокировки UEFI в VBS удалось обойти без физического доступа», - говорит Левиев.

«В результате я смог сделать полностью пропатченную машину Windows восприимчивой к тысячам прошлых уязвимостей, превратив исправленные уязвимости в нулевые дни и сделав термин «полностью пропатченная» бессмысленным на любой машине Windows в мире».

В то время как 7 августа Microsoft выпустила обновление безопасности (KB5041773) для устранения уязвимости CVE-2024-21302, связанной с повышением привилегий в безопасном режиме ядра Windows, компания до сих пор не выпустила исправление для CVE-2024-38202, уязвимости повышения привилегий в стеке обновлений Windows.

До выхода обновления безопасности компания Redmond советует пользователям выполнять рекомендации, описанные в опубликованном ранее в этом месяце руководстве по безопасности, для защиты от атак на понижение рейтинга Windows Downdate.

Меры по устранению этой проблемы включают настройку параметров «Audit Object Access» для мониторинга попыток доступа к файлам, ограничение операций обновления и восстановления, использование списков контроля доступа для ограничения доступа к файлам, а также аудит привилегий для выявления попыток использования этой уязвимости.