Lo specialista di SafeBreach Alon Leviev ha parlato alla conferenza Black Hat 2024 di due vulnerabilità 0-day che possono essere utilizzate negli attacchi di downgrade. Di conseguenza, i sistemi completamente aggiornati che eseguono Windows 10, Windows 11 e Windows Server diventano nuovamente vulnerabili a dei vecchi bug. Non sono ancora disponibili patch per questi problemi.
Microsoft ha emesso bollettini sulla sicurezza che affrontano queste vulnerabilità ( CVE-2024-38202 e CVE-2024-21302 ) e ha anche pubblicato raccomandazioni di mitigazione che possono essere utilizzate fino al rilascio delle patch.
Gli attacchi di downgrade possono forzare un dispositivo di destinazione completamente aggiornato a ripristinare versioni precedenti del software, con conseguente reintroduzione di vulnerabilità sfruttabili.
Advertising
Leviev ha scoperto che il processo di Windows Update può essere costretto a eseguire il downgrade di componenti critici del sistema operativo, comprese le DLL e il kernel NT. Sebbene questi componenti diventino obsoleti, se controllati con Windows Update, il sistema operativo segnala che è completamente aggiornato e non rileva alcun problema.
Il ricercatore è stato anche in grado di abbassare il livello di Credential Guard Secure Kernel, Isolated User Mode Process e Hyper-V per poter sfruttare le vecchie vulnerabilità di escalation dei privilegi.
“Ho scoperto diversi modi per disabilitare la sicurezza VBS di Windows, tra cui Credential Guard e Hypervisor-Protected Code Integrity (HVCI), anche quando si utilizzano i blocchi UEFI. Per quanto ne so, questa è la prima volta che i blocchi UEFI in VBS vengono aggirati senza accesso fisico”, afferma Leviev. “Di conseguenza, sono riuscito a rendere una macchina Windows completamente aggiornata suscettibile a migliaia di vecchie vulnerabilità, trasformando le vulnerabilità già corrette in 0day e rendendo il termine “completamente patchato” privo di significato per qualsiasi sistema Windows nel mondo.”
Secondo l’esperto un simile attacco di downgrade è quasi impossibile da individuare, poiché non viene bloccato dalle soluzioni EDR e Windows Update che considera il dispositivo completamente aggiornato.
Leviev ha informato i rappresentanti di Microsoft delle vulnerabilità a febbraio 2024. Tuttavia, la società ha affermato che sta ancora lavorando per risolverli.
Advertising
Come spiegano gli sviluppatori, la vulnerabilità di escalation dei privilegi CVE-2024-38202 di Windows Backup consente agli aggressori con privilegi di base di annullare le patch per bug precedentemente corretti o ignorare le funzionalità VBS (Virtualization Based Security). Gli aggressori con diritti amministrativi possono sfruttare il problema per aumentare i privilegi e sostituire i file di sistema di Windows con versioni obsolete e vulnerabili.
Microsoft ha affermato che al momento l’azienda non è a conoscenza di tentativi di sfruttamento delle vulnerabilità da parte di aggressori e ha consigliato di seguire le raccomandazioni fornite nei suddetti bollettini sulla sicurezza per ridurre il rischio di sfruttamento dei problemi prima del rilascio delle patch.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.