1. Два критических уязвимости, обнаруженных исследователем SafeBreach Айоном Леви, затрагивают механизм обновления Windows в версиях 10, 11 и Server. CVE-2024-38202 и CVE-21302 позволяют злоумышленникам понижать версии критически важных системных компонентов, фактически откатывая Windows до уязвимых более старых версий, даже если она кажется полностью обновленной. Это может снова ввести ранее исправленные уязвимости безопасности.
2. Эти уязвимости представляют значительную угрозу, поскольку им позволяют получить полный контроль над процессом обновления, обходя такие меры безопасности, как Virtualization Based Security (VBS), функции, такие как Credential Guard и HVCI. Могут быть обойдены даже защиты UEFI.
3. Леви разработал инструмент “Windows Downdate”, чтобы продемонстрировать эти атаки и показать их способность создавать невидимые и постоянные откаты, приводящие к повышению привилегий и обходу функций безопасности.
4. Хотя Microsoft признает уязвимости, они утверждают, что пока нет доказательств эксплуатации в реальном мире. Они активно работают над исправлением, но это может занять некоторое время из-за сложности базы кода, которая пострадала.Thank you for reading this post, don't forget to subscribe!
Рекомендации Microsoft:
* Включить “Аудит доступа к объектам”, чтобы отслеживать попытки доступа к файлам.
* Аудировать чувствительные привилегии.
* Обеспечьте безопасность своего Azure tenant.
* Реализовать многофакторную аутентификацию.
5. Уязвимости подчеркивают критическую важность поддержания систем Windows в актуальном состоянии с последними исправлениями. Даже кажущиеся безопасными окружениями могут быть уязвимы для сложных атак отката. Пользователи должны следить за информацией о безопасности и выполнять рекомендации Microsoft по устранению рисков.
вимости Windows: Как злоумышленники могут отбросить систему назад
В мире технологий постоянно идет борьба за безопасность, и разработчики операционных систем всегда на острие этого противостояния. Недавно исследователь SafeBreach Аylon Levi обнаружил две серьезные уязвимости в механизме обновления Windows. Они затрагивают Windows 10, 11 и Server и представляют собой реальную угрозу для безопасности пользователей.
CVE-2024-38202 и CVE-21302 позволяют злоумышленникам выполнить понижение версии критически важных компонентов системы. В результате Windows может быть фактически переведена на уязвимые старые версии, даже если внешне она кажется полностью обновленной. Это открывает возможность использования ранее исправленных уязвимостей, как будто они никогда не существовали!
Аylon Levi разработал инструмент “Windows Downgrade”, демонстрирующий атаку, которая позволяет создавать невидимые и постоянно действующие понижения версии. В результате злоумышленники получают полный контроль над обновление системы и могут обойти все защитные механизмы, в том числе Virtualization Based Security (VBS), такие как Credential Guard и HVCI. Даже UEFI защиты могут быть обмануты!
Microsoft признает существование уязвимостей, но утверждает, что пока нет доказательств реального их использования в атаках. Компания работает над исправлениями, но процесс может занять время из-за сложности кодовой базы. Тем временем, Microsoft предлагает пользователям ряд рекомендаций по минимизации рисков: включить “Object Access Auditing” для мониторинга попыток доступа к файлам, прослушивать привилегии, повышающие безопасность в Azure tenant и реализовать многофакторную аутентификацию.