El investigador de seguridad de SafeBreach, Alon Leviev (aka _0xDeku/), lanzó su herramienta Windows Downdate, que se puede utilizar para ataques de degradación que reintroducen vulnerabilidades antiguas en sistemas Windows 10, Windows 11 y Windows Server actualizados.
En tales ataques, los actores de amenazas obligan a los dispositivos objetivo actualizados a volver a versiones de software más antiguas, reintroduciendo así vulnerabilidades de seguridad que pueden explotarse para comprometer el sistema.
Windows Downdate está disponible como un programa de código abierto basado en Python y un ejecutable de Windows precompilado que puede ayudar a degradar los componentes del sistema Windows 10, Windows 11 y Windows Server.
Leviev también ha compartido múltiples ejemplos de uso que permiten degradar el hipervisor Hyper-V (a una versión de dos años), el kernel de Windows, el controlador NTFS y el controlador Filter Manager (a sus versiones base), y otros componentes y parches de seguridad aplicados previamente.
"Puede usarse para degradar y exponer vulnerabilidades antiguas originadas en DLL, controladores, el kernel NT, el Secure Kernel, el hipervisor, los trustlets de IUM y más", explicó el investigador de seguridad de SafeBreach, Alon Leviev.
"Aparte de las degradaciones personalizadas, Windows Downdate proporciona ejemplos de uso fáciles de usar para revertir parches para CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 y PPLFault, así como ejemplos para degradar el hipervisor, el kernel, y evitando los bloqueos UEFI de VBS."
Como dijo Leviev en Black Hat 2024 cuando reveló el ataque de degradación de Windows Downdate, que explota las vulnerabilidades CVE-2024-21302 y CVE-2024-38202, el uso de esta herramienta es indetectable porque no puede bloquearse mediante detección y respuesta de endpoints (EDR). Windows Update sigue informando que el sistema de destino está actualizado (a pesar de haber sido degradado).
"Descubrí varias formas de desactivar la seguridad basada en virtualización (VBS) de Windows, incluidas sus características como Credential Guard e integridad del código protegido por hipervisor (HVCI), incluso cuando se aplica con bloqueos UEFI. Hasta donde yo sé, esta es la primera vez que los bloqueos UEFI VBS se han evitado sin acceso físico", dijo Leviev.
Como resultado, se puede hacer que una máquina con Windows completamente parcheada sea susceptible a vulnerabilidades pasadas, convirtiendo las vulnerabilidades reparadas en días cero y haciendo que el término "completamente parcheada" carezca de significado en cualquier máquina con Windows.
Si bien Microsoft lanzó una actualización de seguridad (KB5041773) para corregir la falla de escalamiento de privilegios del modo kernel seguro de Windows CVE-2024-21302 el 7 de agosto, la compañía aún tiene que proporcionar un parche para CVE-2024-38202, una vulnerabilidad de elevación de privilegios de Windows Update Stack.
Hasta que se publique una actualización de seguridad, Redmond aconseja a los clientes que implementen las recomendaciones compartidas en el aviso de seguridad publicado a principios de este mes para ayudar a protegerse contra los ataques de degradación de Windows Downdate.
Las medidas de mitigación para este problema incluyen la configuración de "Auditar acceso a objetos" para monitorear los intentos de acceso a archivos, restringir las operaciones de actualización y restauración, usar listas de control de acceso para limitar el acceso a archivos y auditar privilegios para identificar intentos de explotar esta vulnerabilidad.
Fuente: BC