Этот эксплойт Центра обновления Windows просто ужасен
Центр обновления Windows может иногда иметь неприятные последствия, выдавая ошибочные исправления , но по большей части он предназначен для защиты нас от новейших угроз. Microsoft регулярно выпускает новые исправления, устраняющие потенциальные уязвимости. Но что, если бы существовал инструмент, который мог бы отменить каждое обновление Windows и сделать ваш компьютер уязвимым для всех угроз, которые, по мнению Microsoft, они уже устранили? Плохая новость: такой инструмент теперь существует и называется Windows Downdate.
Не волнуйтесь, однако. Вы в безопасности от Windows Downdate — по крайней мере, на данный момент. Инструмент был разработан в качестве доказательства концепции исследователем SafeBreach Алоном Леваевым, и хотя его потенциал просто устрашающий, он был создан добросовестно как пример того, что называется «белым хакерством», когда исследователи пытаются находите уязвимости до того, как злоумышленники смогут сделать это первыми.
В случае с Windows Downdate, если оно попадет в чужие руки, последствия могут быть ошеломляющими. Эксплойт использует уязвимость в Центре обновления Windows для установки более старых обновлений, в которых некоторые уязвимости еще не исправлены. Леваев использовал этот инструмент для понижения версии динамически подключаемых библиотек (DLL), драйверов и даже ядра NT, которое является основным компонентом Windows. Это достигается в обход всякой проверки, а результат совершенно незаметен и необратим.
«Мне удалось сделать полностью исправленную машину с Windows восприимчивой к тысячам прошлых уязвимостей, превратив исправленные уязвимости в нулевой день и сделав термин «полностью исправленный» бессмысленным на любой машине с Windows в мире», — сказал Леваев в сообщении SafeBreach . «После этих понижений ОС сообщила, что она была полностью обновлена и не может устанавливать будущие обновления, а инструменты восстановления и сканирования не смогли обнаружить проблемы».
Леваев также обнаружил, что весь стек виртуализации в Windows также подвержен этому эксплойту; исследователю удалось понизить версию процесса изолированного пользовательского режима Credential Guard, гипервизора Hyper-V и Secure Kernel. Леваев даже нашел «несколько способов» отключить безопасность на основе виртуализации (VBS) в Windows, и это все еще было возможно, даже если были применены блокировки UEFI.
«Насколько мне известно, это первый случай обхода блокировок UEFI VBS без физического доступа», — сказал Леваев.
Windows Downdate может, по сути, отменить каждое когда-либо созданное исправление безопасности, а затем обмануть компьютер, заставив его думать, что все в порядке, поскольку он незаметно подвергает его сотням различных угроз. Подобный инструмент может нанести серьезный ущерб любой ОС, и Леваев подозревает, что другие операционные системы, такие как MacOS и Linux, также могут подвергнуться риску.
Хорошей новостью является то, что Леваев намеревался защитить пользователей Windows от такого инструмента, и исследователь сообщил о своих выводах Microsoft в феврале 2024 года. В ответ Microsoft выпустила два CVE ( CVE-2024-21302 и CVE-2024-38202 ) и похоже, усердно работает над исправлением этой уязвимости. Будем надеяться, что Microsoft быстрее исправит этот эксплойт, чем неэтичные хакеры смогут использовать его в своих целях.