Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Windows Update: il downgrade delle componenti del kernel riaprono le vecchie falle di sicurezza!

Redazione RHC : 29 Ottobre 2024 07:19

Gli aggressori potrebbero eseguire il downgrade dei componenti del kernel di Windows per aggirare le funzionalità di sicurezza come Driver Signature Enforcement e implementare un rootkit su sistemi completamente aggiornati, ha avvertito lo specialista di SafeBreach Alon Leviev.

Secondo il ricercatore, un simile attacco è possibile se si prende il controllo del processo di Windows Update e si introducono componenti software obsoleti e vulnerabili nella macchina aggiornata, senza modificare lo stato del sistema operativo completo di patch.

All’inizio di quest’anno Leviev aveva già dimostrato che un simile attacco era fattibile, ma il problema non è ancora stato completamente eliminato, il che rende possibile un downgrade o un rollback della versione.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Ad agosto il ricercatore ha addirittura pubblicato lo strumento Windows Downdate, che può essere utilizzato per attacchi downgrade alle versioni downgrade di Windows 10, Windows 11 e Windows Server tramite componenti obsoleti come DLL, driver e kernel NT. Di conseguenza, ciò consente lo sfruttamento di vulnerabilità già corrette, poiché il sistema operativo diventa nuovamente vulnerabile a vecchi bug.

Ora il ricercatore afferma che, sebbene la sicurezza del kernel sia migliorata in modo significativo nel corso degli anni, è riuscito a bypassare la funzionalità Driver Signature Enforcement (DSE), dimostrando così che un utente malintenzionato può caricare driver del kernel non firmati e quindi distribuire un rootkit sulla macchina che disabilita la protezione e nasconde l’attività, che potrebbe portare al rilevamento di un hack.

Sebbene le nuove misure di sicurezza rendano più difficile compromettere il kernel, “la possibilità di eseguire il downgrade dei componenti presenti nel kernel rende molto più semplice il compito degli aggressori”, afferma Leviev.

Il ricercatore ha chiamato questo metodo di bypass DSE ItsNotASecurityBoundary perché è correlato al downgrade e all’exploit ItsNotASecurityBoundary, precedentemente identificato dagli specialisti di Elastic e che consente l’esecuzione di codice arbitrario con privilegi del kernel.

Il nuovo attacco si basa sulla sostituzione del file ci.dll, responsabile dell’implementazione di DSE, con una versione vulnerabile che ignora le firme dei driver, consentendogli di aggirare i controlli di sicurezza di Windows.

Sempre nel nuovo articolo, Leviev descrive i metodi per aggirare il meccanismo di sicurezza basato sulla virtualizzazione (VBS) di Microsoft, che crea un ambiente isolato per proteggere le risorse sensibili, incluso il meccanismo di integrità del codice del kernel (skci.dll) e le credenziali dell’utente autenticato.

Pertanto, VBS si basa in genere su meccanismi di sicurezza come blocchi UEFI e configurazioni del registro per impedire modifiche non autorizzate, ma questi possono essere disabilitati modificando le chiavi di registro se le impostazioni di sicurezza non sono massime (il flag “Mandatory“). Se parzialmente abilitati, i file chiave VBS (come SecureKernel.exe) possono essere sostituiti con versioni non valide, che interromperanno VBS e apriranno la strada alla sostituzione di ItsNotASecurityBoundary e ci.dll.

Come rileva Bleeping Computer, sebbene le vulnerabilità scoperte dall’esperto (CVE-2024-38202 e CVE-2024-21302) siano già state divulgate pubblicamente e dimostrate alle conferenze BlackHat e DEFCON, Microsoft non ha ancora risolto il problema associato a Windows Update.

Come afferma lo stesso Leviev, il problema non è stato risolto, poiché, secondo i rappresentanti di Microsoft, “un errore che consente di eseguire il codice del kernel come amministratore non supera un determinato limite di sicurezza (non è una vulnerabilità)”.

Tuttavia, Microsoft ha detto ai giornalisti che la società sta già “sviluppando attivamente protezioni contro questi rischi”, ma si tratta di un processo lento che prevede “un’indagine approfondita, lo sviluppo di aggiornamenti per tutte le versioni interessate e test di compatibilità” per evitare possibili guasti.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’Italia nel mondo degli Zero Day c’è! Le prime CNA Italiane sono Leonardo e Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...

Apple nel mirino? Presunta rivendicazione di data breach da 9 GB su Darkforums
Di Inva Malaj - 05/10/2025

Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...