Redazione RHC : 29 Ottobre 2024 07:19
Gli aggressori potrebbero eseguire il downgrade dei componenti del kernel di Windows per aggirare le funzionalità di sicurezza come Driver Signature Enforcement e implementare un rootkit su sistemi completamente aggiornati, ha avvertito lo specialista di SafeBreach Alon Leviev.
Secondo il ricercatore, un simile attacco è possibile se si prende il controllo del processo di Windows Update e si introducono componenti software obsoleti e vulnerabili nella macchina aggiornata, senza modificare lo stato del sistema operativo completo di patch.
All’inizio di quest’anno Leviev aveva già dimostrato che un simile attacco era fattibile, ma il problema non è ancora stato completamente eliminato, il che rende possibile un downgrade o un rollback della versione.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ad agosto il ricercatore ha addirittura pubblicato lo strumento Windows Downdate, che può essere utilizzato per attacchi downgrade alle versioni downgrade di Windows 10, Windows 11 e Windows Server tramite componenti obsoleti come DLL, driver e kernel NT. Di conseguenza, ciò consente lo sfruttamento di vulnerabilità già corrette, poiché il sistema operativo diventa nuovamente vulnerabile a vecchi bug.
Ora il ricercatore afferma che, sebbene la sicurezza del kernel sia migliorata in modo significativo nel corso degli anni, è riuscito a bypassare la funzionalità Driver Signature Enforcement (DSE), dimostrando così che un utente malintenzionato può caricare driver del kernel non firmati e quindi distribuire un rootkit sulla macchina che disabilita la protezione e nasconde l’attività, che potrebbe portare al rilevamento di un hack.
Sebbene le nuove misure di sicurezza rendano più difficile compromettere il kernel, “la possibilità di eseguire il downgrade dei componenti presenti nel kernel rende molto più semplice il compito degli aggressori”, afferma Leviev.
Il ricercatore ha chiamato questo metodo di bypass DSE ItsNotASecurityBoundary perché è correlato al downgrade e all’exploit ItsNotASecurityBoundary, precedentemente identificato dagli specialisti di Elastic e che consente l’esecuzione di codice arbitrario con privilegi del kernel.
Il nuovo attacco si basa sulla sostituzione del file ci.dll, responsabile dell’implementazione di DSE, con una versione vulnerabile che ignora le firme dei driver, consentendogli di aggirare i controlli di sicurezza di Windows.
Sempre nel nuovo articolo, Leviev descrive i metodi per aggirare il meccanismo di sicurezza basato sulla virtualizzazione (VBS) di Microsoft, che crea un ambiente isolato per proteggere le risorse sensibili, incluso il meccanismo di integrità del codice del kernel (skci.dll) e le credenziali dell’utente autenticato.
Pertanto, VBS si basa in genere su meccanismi di sicurezza come blocchi UEFI e configurazioni del registro per impedire modifiche non autorizzate, ma questi possono essere disabilitati modificando le chiavi di registro se le impostazioni di sicurezza non sono massime (il flag “Mandatory“). Se parzialmente abilitati, i file chiave VBS (come SecureKernel.exe) possono essere sostituiti con versioni non valide, che interromperanno VBS e apriranno la strada alla sostituzione di ItsNotASecurityBoundary e ci.dll.
Come rileva Bleeping Computer, sebbene le vulnerabilità scoperte dall’esperto (CVE-2024-38202 e CVE-2024-21302) siano già state divulgate pubblicamente e dimostrate alle conferenze BlackHat e DEFCON, Microsoft non ha ancora risolto il problema associato a Windows Update.
Come afferma lo stesso Leviev, il problema non è stato risolto, poiché, secondo i rappresentanti di Microsoft, “un errore che consente di eseguire il codice del kernel come amministratore non supera un determinato limite di sicurezza (non è una vulnerabilità)”.
Tuttavia, Microsoft ha detto ai giornalisti che la società sta già “sviluppando attivamente protezioni contro questi rischi”, ma si tratta di un processo lento che prevede “un’indagine approfondita, lo sviluppo di aggiornamenti per tutte le versioni interessate e test di compatibilità” per evitare possibili guasti.
RedazioneSasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...
Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
