L’esperto di SafeBreach Alon Leviev ha rilasciato uno strumento chiamato Windows Downdate, che può essere utilizzato per attacchi di downgrade alle versioni di Windows 10, Windows 11 e Windows Server. Un simile attacco consente di sfruttare le vulnerabilità che sono già state corrette, poiché il sistema operativo diventa nuovamente vulnerabile a vecchi bug.
Windows Downdate è uno strumento Python open source, precompilato in un eseguibile Windows, che può essere utilizzato per eseguire il downgrade dei componenti di sistema di Windows 10, Windows 11 e Windows Server.
Leviev ha condiviso diversi esempi di utilizzo dello strumento, che consente di ripristinare gli aggiornamenti dell’hypervisor Hyper-V (a una versione vecchia di due anni), del kernel di Windows, dei driver NTFS e Filter Manager (alle versioni di base), come così come altri componenti di Windows e patch applicate in precedenza.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“Con Windows Downdate, puoi assumere il controllo degli aggiornamenti di Windows per eseguire il downgrade ed esporre le vulnerabilità passate contenute nelle DLL, nei driver, nel kernel NT, nel Secure Kernel, nell’hypervisor, nei trustlet IUM e altro ancora”, afferma Leviev. “Oltre ai downgrade personalizzati, Windows Downdate contiene esempi di facile utilizzo di rollback di patch per CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 e PPLFault, nonché esempi di downgrade dell’hypervisor, kernel e bypassando i blocchi UEFI VBS.”
Ricordiamo che per la prima volta l’esperto ha parlato di questo attacco e delle vulnerabilità 0-day associate ( CVE-2024-38202 e CVE-2024-21302 ) alla conferenza Black Hat 2024, quando ha spiegato l’utilizzo dello strumento è quasi impossibile da rilevare, poiché l’attacco non viene bloccato dalle soluzioni EDR e Windows Update considera il dispositivo completamente aggiornato.
“Ho scoperto diversi modi per disabilitare la sicurezza VBS di Windows, tra cui Credential Guard e Hypervisor-Protected Code Integrity (HVCI), anche quando si utilizzano i blocchi UEFI. Per quanto ne so, questa è la prima volta che i blocchi UEFI in VBS vengono aggirati senza accesso fisico. Di conseguenza, sono stato in grado di rendere una macchina Windows completamente aggiornata suscettibile a migliaia di vecchie vulnerabilità, trasformando le vulnerabilità già corrette in 0 giorni e rendendo il termine “completamente patchato” privo di significato per qualsiasi sistema Windows nel mondo”, ha affermato Leviev alla conferenza Black Hat.
Sebbene Microsoft abbia rilasciato un aggiornamento ( KB5041773 ) il 7 agosto 2024 per risolvere la vulnerabilità di escalation dei privilegi CVE-2024-21302 di Windows Secure Kernel Mode, la società non ha ancora corretto la vulnerabilità di escalation dei privilegi dello stack di Windows Update CVE-2024-38202.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Cyber Italia
Cyber Italia
Cybercrime
Cyber Italia