Исправления безопасности Windows необходимы для защиты вашего компьютера от угроз. Однако атаки на понижение версии являются одним из способов обойти исправления Microsoft. Исследователь безопасности хотел показать, насколько фатальными они могут быть.

Исследователь безопасности SafeBreach Алон Леваев упомянут в одной компании Сообщение в блоге что они разработали нечто под названием «Инструмент Windows Downdate» в качестве доказательства концепции. Этот инструмент выполняет постоянный и необратимый переход на более раннюю версию систем Windows Server и компонентов Windows 10 и 11.

Леваев объясняет, что его инструмент (и подобные угрозы) выполняет атаку с откатом версии, «предназначенную для отката иммунизированного, полностью обновленного программного обеспечения до более старой версии». Они позволяют злоумышленникам обнаруживать и использовать ранее исправленные/исправленные уязвимости для компрометации систем и получения несанкционированного доступа».

Он также упоминает, что вы можете использовать этот инструмент, чтобы подвергнуть компьютер более старым уязвимостям, обнаруженным в драйверах, DLL, Secure Kernel, NT Kernel, гипервизоре и т. д. Леваев продолжил: Опубликуйте следующее в X (ранее Twitter).: «Помимо пользовательского перехода на более раннюю версию, Windows Downdate предоставляет простые в использовании варианты использования для отката исправлений для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault, а также примеры перехода на более раннюю версию. гипервизор, ядро ​​и обход UEFI-блокировки VBS».

Если вы еще не пробовали, инструмент Windows Downdate теперь доступен! Вы можете использовать его для применения обновлений Windows для перехода на более раннюю версию и выявления предыдущих уязвимостей в DLL, драйверах, ядре NT, безопасном ядре, гипервизоре, трастлетах IUM и многом другом!

— Алон Леваев (@_0xDeku) 25 августа 2024 г.

Также вызывает беспокойство то, что этот инструмент невозможно обнаружить, поскольку его нельзя заблокировать решениями Endpoint Detection and Response (EDR). Ваш компьютер с Windows будет продолжать сообщать вам, что на нем установлена ​​последняя версия, даже если это не так. Он также обнаружил несколько способов отключения безопасности на основе виртуализации Windows (VBS), включая целостность кода, защищенного гипервизором (HVCI) и Credential Guard.

7 августа Microsoft выпустила обновление безопасности (KB5041773) для решения этой проблемы. CVE-2024-21302 Ошибка повышения привилегий режима безопасного ядра Windows и исправление для CVE-2024-38202. У Microsoft тоже есть несколько советов Пользователи Windows могут предпринять шаги для защиты, например настроить параметры аудита доступа к объектам для проверки попыток доступа к файлам. Выпуск этого нового инструмента показывает, насколько уязвимы ПК для всех типов атак и что никогда не следует успокаиваться, когда дело касается кибербезопасности.

Хорошая новость заключается в том, что сейчас мы можем быть спокойны, поскольку этот инструмент был разработан как доказательство концепции, пример «белого взлома», позволяющего обнаруживать уязвимости до того, как это сделают злоумышленники. Кроме того, Леваев представил свои выводы в Microsoft в феврале 2024 года, и мы надеемся, что софтверный гигант вскоре внесет необходимые исправления.