Alon Leviev, diretor da empresa de segurança SafeBreach Labs, apresentou na Black Hat, que se encerra hoje, um estudo mostrando que uma vulnerabilidade no Windows Update chamada de Downdate poderia ser explorada para fazer o downgrade do Windows para versões mais antigas, expondo uma série de vulnerabilidades já corrigidas, que podem ser exploradas para obter controle total de um sistema.
Leia também
Windows Hyper-V sob ataque, alerta a Microsoft
Microsoft decide adiar lançamento do Windows Recall
O processo do Windows Update, segundo ele descreveu, é iniciado “colocando” uma solicitação de atualização em uma pasta de atualização da máquina. Uma vez que sua integridade é verificada pelo servidor de atualização da Microsoft, essa pasta é salva em uma pasta controlada pelo servidor, junto com uma lista de ações de atualização – Pending.xml – a serem executadas (como criar/excluir/mover arquivos, criar/excluir chaves e valores do registro, etc.) quando o sistema é reinicializado.
Depois de testar diferentes abordagens, ele descobriu o caminho da lista de ações no registro, junto com uma chave – PoqexecCmdline – que contém o executável que analisa a lista e o caminho da lista. “Então, olhei para os atributos de segurança dessa chave e notei que ela não é imposta pelo Trusted Installer! Isso me permitiria controlar todas as ações de atualização”, ele explicou . “Para fazer o downgrade, eu poderia usar a ação de arquivo de hard-link e a fonte substituiria o destino.”
Então ele simplesmente atualizou o sistema com uma lista de ações de downgrade personalizada. O ataque não foi detectado por mecanismos de segurança, pois foi realizado de forma legítima, e ninguém saberia que a máquina não está totalmente atualizada, já que – tecnicamente – uma atualização aconteceu.
Ele também descobriu que poderia corrigir o analisador de lista de ações – poqexec.exe – para instalar atualizações vazias, para que atualizações mais recentes não fossem instaladas. Por fim, ele descobriu que poderia corrigir o utilitário de integridade e reparo – SFC.exe – para que ele não detectasse mais nenhuma corrupção.
“Armado com essas capacidades, consegui então fazer o downgrade de componentes críticos do SO, incluindo bibliotecas de vínculo dinâmico (DLLs), drivers e até mesmo o kernel NT. Então, mirei mais alto e descobri que toda a pilha de virtualização também estava em risco. Fiz o downgrade com sucesso do Isolated User Mode Process, Secure Kernel e do hypervisor do Hyper-V do Credential Guard para expor vulnerabilidades de escalonamento de privilégios anteriores”, ele descreveu.
Ele também encontrou maneiras de desabilitar a segurança baseada em virtualização do Windows (VBS), o Credential Guard e a integridade do código protegido pelo hipervisor (HVCI), ignorando seus bloqueios UEFI.
“Como resultado, consegui tornar uma máquina Windows totalmente corrigida suscetível a milhares de vulnerabilidades anteriores, transformando vulnerabilidades corrigidas em vulnerabilidades de dia zero e tornando o termo ‘totalmente corrigido’ sem sentido em qualquer máquina Windows do mundo”, concluiu.
O pesquisador explorou duas vulnerabilidades de elevação de privilégio de dia zero atualmente não corrigidas ( CVE-2024-38202 , CVE-2024-21302 ) no Windows Update Stack e no Windows Secure Kernel, respectivamente, para reintroduzir vulnerabilidades previamente mitigadas, contornar alguns recursos do VBS e exfiltrar dados protegidos pelo VBS.
Ele também criou uma ferramenta – Windows Downdate – que lhe permitiu fazer isso.
Leviev compartilhou suas descobertas com a Microsoft em fevereiro de 2024, e a empresa está desenvolvendo uma atualização de segurança para mitigar as duas falhas. Enquanto isso, os clientes são aconselhados a reduzir o risco de exploração realizando auditorias de permissões e implementando uma Lista de Controle de Acesso ou Listas de Controle de Acesso Discricionário.
“A Microsoft não tem conhecimento de nenhuma tentativa de explorar esta vulnerabilidade. No entanto, uma apresentação pública sobre esta vulnerabilidade foi hospedada na Black Hat em 7 de agosto de 2024. A apresentação foi coordenada apropriadamente com a Microsoft, mas pode mudar o cenário de ameaças”, disse a empresa .