Ataques de Downgrade no Windows
8 de Agosto de 2024

A Microsoft anunciou que está desenvolvendo atualizações de segurança para corrigir duas vulnerabilidades que, segundo a empresa, poderiam ser exploradas para realizar ataques de downgrade contra a arquitetura de atualização do Windows e substituir versões atuais dos arquivos do Windows por versões mais antigas.

As vulnerabilidades são listadas abaixo:

CVE-2024-38202 (pontuação CVSS: 7.3) - Vulnerabilidade de Elevação de Privilégio no Stack de Atualização do Windows
CVE-2024-21302 (pontuação CVSS: 6.7) - Vulnerabilidade de Elevação de Privilégio no Modo Kernel Seguro do Windows

A identificação e o relato dessas falhas são creditados ao pesquisador do SafeBreach Labs, Alon Leviev, que apresentou as descobertas na Black Hat USA 2024 e DEF CON 32.

A CVE-2024-38202 , que tem sua origem no componente de Backup do Windows, permite que um "atacante com privilégios de usuário básicos reintroduza vulnerabilidades previamente mitigadas ou contorne algumas funcionalidades da Segurança Baseada em Virtualização (VBS)", disse a gigante da tecnologia.

No entanto, observou que um atacante tentando explorar a falha teria que convencer um Administrador ou um usuário com permissões delegadas a realizar uma restauração do sistema que, inadvertidamente, acionaria a vulnerabilidade.

A segunda vulnerabilidade também se refere a um caso de escalada de privilégios em sistemas Windows que suportam VBS, permitindo efetivamente que um adversário substitua versões atuais dos arquivos do sistema Windows por versões desatualizadas.

As consequências da CVE-2024-21302 são que ela poderia ser armada para reintroduzir falhas de segurança previamente solucionadas, contornar algumas funcionalidades do VBS e exfiltrar dados protegidos pelo VBS.

Leviev, que detalhou uma ferramenta chamada Windows Downdate, disse que ela poderia ser usada para tornar "uma máquina Windows totalmente atualizada suscetível a milhares de vulnerabilidades passadas, transformando vulnerabilidades corrigidas em zero-days e tornando o termo 'totalmente atualizado' sem significado em qualquer máquina Windows no mundo."

A ferramenta, acrescentou Leviev, poderia "assumir o processo de atualização do Windows para criar downgrades totalmente indetectáveis, invisíveis, persistentes e irreversíveis em componentes críticos do SO—o que me permitiu elevar privilégios e contornar recursos de segurança."

Além disso, o Windows Downdate é capaz de contornar etapas de verificação, como a verificação de integridade e a imposição do Instalador Confiável, efetivamente tornando possível fazer o downgrade de componentes críticos do sistema operacional, incluindo bibliotecas de vínculo dinâmico (DLLs), drivers e o kernel do NT.

As questões, além disso, poderiam ser exploradas para fazer o downgrade do Processo de Modo de Usuário Isolado do Credential Guard, do Secure Kernel e do hipervisor do Hyper-V para expor vulnerabilidades passadas de elevação de privilégio, bem como desabilitar o VBS, junto com recursos como integridade do código protegido por hipervisor (HVCI).

O resultado líquido é que um sistema Windows completamente atualizado pode ser tornado suscetível a milhares de vulnerabilidades passadas e transformar deficiências fixas em zero-days.

Esses downgrades têm um impacto adicional no sentido de que o sistema operacional relata que o sistema está totalmente atualizado, enquanto simultaneamente impede a instalação de futuras atualizações e inibe a detecção por ferramentas de recuperação e varredura.

"O ataque de downgrade que consegui realizar na pilha de virtualização dentro do Windows foi possível devido a uma falha de design que permitia níveis de confiança virtuais/anelos menos privilegiados atualizar componentes residentes em níveis de confiança virtuais/anelos mais privilegiados", disse Leviev.

Isso foi muito surpreendente, dado que os recursos do VBS da Microsoft foram anunciados em 2015, o que significa que a superfície de ataque de downgrade que descobri existiu por quase uma década.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...