Con Downdate Windows all’ultimo patching diventa nuovamente vulnerabile

Redazione RHC : 9 Novembre 2024 21:19

L’esperto di SafeBreach Alon Leviev ha rilasciato uno strumento chiamato Windows Downdate, che può essere utilizzato per attacchi di downgrade alle versioni di Windows 10, Windows 11 e Windows Server. Un simile attacco consente di sfruttare le vulnerabilità che sono già state corrette, poiché il sistema operativo diventa nuovamente vulnerabile a vecchi bug.

Windows Downdate è uno strumento Python open source, precompilato in un eseguibile Windows, che può essere utilizzato per eseguire il downgrade dei componenti di sistema di Windows 10, Windows 11 e Windows Server.

Leviev ha condiviso diversi esempi di utilizzo dello strumento, che consente di ripristinare gli aggiornamenti dell’hypervisor Hyper-V (a una versione vecchia di due anni), del kernel di Windows, dei driver NTFS e Filter Manager (alle versioni di base), come così come altri componenti di Windows e patch applicate in precedenza.

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“Con Windows Downdate, puoi assumere il controllo degli aggiornamenti di Windows per eseguire il downgrade ed esporre le vulnerabilità passate contenute nelle DLL, nei driver, nel kernel NT, nel Secure Kernel, nell’hypervisor, nei trustlet IUM e altro ancora”, afferma Leviev. “Oltre ai downgrade personalizzati, Windows Downdate contiene esempi di facile utilizzo di rollback di patch per CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 e PPLFault, nonché esempi di downgrade dell’hypervisor, kernel e bypassando i blocchi UEFI VBS.”

Ricordiamo che per la prima volta l’esperto ha parlato di questo attacco e delle vulnerabilità 0-day associate ( CVE-2024-38202  e  CVE-2024-21302 ) alla conferenza Black Hat 2024, quando ha spiegato l’utilizzo dello strumento è quasi impossibile da rilevare, poiché l’attacco non viene bloccato dalle soluzioni EDR e Windows Update considera il dispositivo completamente aggiornato.

“Ho scoperto diversi modi per disabilitare la sicurezza VBS di Windows, tra cui Credential Guard e Hypervisor-Protected Code Integrity (HVCI), anche quando si utilizzano i blocchi UEFI. Per quanto ne so, questa è la prima volta che i blocchi UEFI in VBS vengono aggirati senza accesso fisico. Di conseguenza, sono stato in grado di rendere una macchina Windows completamente aggiornata suscettibile a migliaia di vecchie vulnerabilità, trasformando le vulnerabilità già corrette in 0 giorni e rendendo il termine “completamente patchato” privo di significato per qualsiasi sistema Windows nel mondo”, ha affermato Leviev alla conferenza Black Hat.

Sebbene Microsoft abbia rilasciato un aggiornamento ( KB5041773 ) il 7 agosto 2024 per risolvere la vulnerabilità di escalation dei privilegi CVE-2024-21302 di Windows Secure Kernel Mode, la società non ha ancora corretto la vulnerabilità di escalation dei privilegi dello stack di Windows Update CVE-2024-38202.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli