Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 9 Novembre 2024 21:19
L’esperto di SafeBreach Alon Leviev ha rilasciato uno strumento chiamato Windows Downdate, che può essere utilizzato per attacchi di downgrade alle versioni di Windows 10, Windows 11 e Windows Server. Un simile attacco consente di sfruttare le vulnerabilità che sono già state corrette, poiché il sistema operativo diventa nuovamente vulnerabile a vecchi bug.
Windows Downdate è uno strumento Python open source, precompilato in un eseguibile Windows, che può essere utilizzato per eseguire il downgrade dei componenti di sistema di Windows 10, Windows 11 e Windows Server.
Leviev ha condiviso diversi esempi di utilizzo dello strumento, che consente di ripristinare gli aggiornamenti dell’hypervisor Hyper-V (a una versione vecchia di due anni), del kernel di Windows, dei driver NTFS e Filter Manager (alle versioni di base), come così come altri componenti di Windows e patch applicate in precedenza.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“Con Windows Downdate, puoi assumere il controllo degli aggiornamenti di Windows per eseguire il downgrade ed esporre le vulnerabilità passate contenute nelle DLL, nei driver, nel kernel NT, nel Secure Kernel, nell’hypervisor, nei trustlet IUM e altro ancora”, afferma Leviev. “Oltre ai downgrade personalizzati, Windows Downdate contiene esempi di facile utilizzo di rollback di patch per CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 e PPLFault, nonché esempi di downgrade dell’hypervisor, kernel e bypassando i blocchi UEFI VBS.”
Ricordiamo che per la prima volta l’esperto ha parlato di questo attacco e delle vulnerabilità 0-day associate ( CVE-2024-38202 e CVE-2024-21302 ) alla conferenza Black Hat 2024, quando ha spiegato l’utilizzo dello strumento è quasi impossibile da rilevare, poiché l’attacco non viene bloccato dalle soluzioni EDR e Windows Update considera il dispositivo completamente aggiornato.
“Ho scoperto diversi modi per disabilitare la sicurezza VBS di Windows, tra cui Credential Guard e Hypervisor-Protected Code Integrity (HVCI), anche quando si utilizzano i blocchi UEFI. Per quanto ne so, questa è la prima volta che i blocchi UEFI in VBS vengono aggirati senza accesso fisico. Di conseguenza, sono stato in grado di rendere una macchina Windows completamente aggiornata suscettibile a migliaia di vecchie vulnerabilità, trasformando le vulnerabilità già corrette in 0 giorni e rendendo il termine “completamente patchato” privo di significato per qualsiasi sistema Windows nel mondo”, ha affermato Leviev alla conferenza Black Hat.
Sebbene Microsoft abbia rilasciato un aggiornamento ( KB5041773 ) il 7 agosto 2024 per risolvere la vulnerabilità di escalation dei privilegi CVE-2024-21302 di Windows Secure Kernel Mode, la società non ha ancora corretto la vulnerabilità di escalation dei privilegi dello stack di Windows Update CVE-2024-38202.
RedazioneIl mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, u...
L’azienda giapponese Science ha lanciato una lavatrice per esseri umani. La capsula lunga 2,30 metri lava una persona in 15 minuti e ha suscitato notevole interesse all’Expo di Osaka concluso rece...
Airbus ha annunciato il richiamo di circa 6.500 aeromobili A320 a causa di potenziali guasti al sistema di controllo ELAC causati da potenti brillamenti solari. Il richiamo è avvenuto in seguito a un...
Questo articolo analizza la disclosure presentata a Microsoft e consultabile in inglese su digitaldefense, dove sono disponibili immagini, video dimostrativi e un esempio di codice Python. Negli ultim...
L’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Duran...
