Появился пугающий новый способ отменить исправления безопасности Windows

Человек сидит и использует компьютер HP с Windows 11.
Майкрософт

Исправления безопасности для Windows необходимы для защиты вашего компьютера от развития угроз. Но атаки на понижение версии — это способ обойти исправления Microsoft, и исследователь безопасности решил показать, насколько фатальными они могут быть.

Исследователь безопасности SafeBreach Алон Леваев упомянул в блоге компании, что они создали нечто, называемое инструментом Windows Downdate, в качестве доказательства концепции. Этот инструмент обеспечивает постоянное и необратимое понижение версий систем Windows Server и компонентов Windows 10 и 11.

Леваев объясняет, что его инструмент (и подобные угрозы) выполняет атаку с откатом версии, «предназначенную для возврата неуязвимого, полностью обновленного программного обеспечения обратно к более старой версии. Они позволяют злоумышленникам выявлять и использовать ранее исправленные/исправленные уязвимости для компрометации систем и получения несанкционированного доступа».

Он также упоминает, что вы можете использовать этот инструмент, чтобы подвергнуть компьютер более старым уязвимостям, обнаруженным в драйверах, DLL, безопасном ядре, ядре NT, гипервизоре и многом другом. Далее Леваев опубликовал на X (ранее Twitter) следующее сообщение : «Помимо пользовательских переходов на более ранние версии, Windows Downdate предоставляет простые в использовании примеры использования откатов исправлений для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault, а также примеры перехода на более раннюю версию гипервизора, ядра и обхода блокировок UEFI VBS».

Что также беспокоит, так это то, что этот инструмент невозможно обнаружить, поскольку он не может быть заблокирован решениями по обнаружению и реагированию конечных точек (EDR), и ваш компьютер с Windows будет продолжать сообщать вам, что он обновлен, даже если это не так. Он также обнаружил различные способы отключения безопасности на основе виртуализации Windows (VBS), включая целостность кода, защищенного гипервизором (HVCI) и Credential Guard.

7 августа Microsoft выпустила обновление безопасности (KB5041773), исправляющее ошибку повышения привилегий в режиме безопасного ядра Windows CVE-2024-21302 , а также исправление для CVE-2024-38202 . Microsoft также выпустила несколько советов, которые пользователи Windows могут использовать, чтобы оставаться в безопасности, например, настройку параметров «Аудит доступа к объектам» для сканирования попыток доступа к файлам. Выпуск этого нового инструмента показывает, насколько уязвимы компьютеры для всех видов атак и что никогда не следует терять бдительность, когда дело касается кибербезопасности.

Хорошая новость заключается в том, что сейчас мы можем быть спокойны, поскольку этот инструмент был создан в качестве доказательства концепции, примера «белого взлома», позволяющего обнаруживать уязвимости до того, как это сделают злоумышленники. Кроме того, Леваев передал свои выводы Microsoft в феврале 2024 года, и мы надеемся, что софтверный гигант вскоре получит необходимые исправления.