Due vulnerabilità zero-day potrebbero essere sfruttate per aggirare le protezioni di Windows e installare vecchie versioni di alcuni componenti critici. Un ricercatore di SafeBreach ha descritto al Black Hat 2024 due gravi vulnerabilità zero-day che possono essere sfruttate per effettuare un “downgrade attack”, ovvero installare vecchie versioni dei componenti di Windows su sistemi aggiornati. Microsoft non ha ancora rilasciato le patch per risolvere il problema di sicurezza.
Downgrade invisibile e persistente
Il ricercatore Alon Leviev ha sviluppato un tool, denominato Windows Downdate, che consente di disattivare alcune protezioni di Windows 10/11 ed effettuare il downgrade dei componenti critici del sistema operativo, tra cui DLL, driver e kernel NT. È possibile quindi installare vecchie versioni vulnerabili che risultano aggiornate. Effettuando una verifica con Windows Update verrà mostrato il messaggio “Gli ultimi aggiornamenti sono stati installati”.
In dettaglio, il ricercatore è riuscito a disattivare le funzionalità di Virtualization-based security (VBS), tra cui Credential Guard e Hypervisor-Protected Code integrity (HVCI). Sfruttando le vulnerabilità zero-day ha effettuato il downgrade di Isolated User Mode Process, Secure Kernel e Hyper-V, ripristinando versioni con vulnerabilità che consentono l’escalation di privilegi.
Il downgrade attack implementato dal ricercatore è invisibile, persistente e irreversibile. Al termine della ricerca degli aggiornamenti, Windows Update comunicherà che il sistema operativo è aggiornato. Sul sito di SafeBreach sono stati pubblicati tutti i dettagli tecnici e alcune demo degli attacchi.
| Vulnerabilità | Descrizione | Impatto |
|---|---|---|
| CVE-2024-21302 | Downgrade di componenti critici di Windows | Escalation di privilegi, disattivazione di protezioni di sicurezza |
| CVE-2024-38202 | Downgrade invisibile e persistente | Sistema operativo vulnerabile nonostante sembri aggiornato |
Microsoft è stata informata a febbraio. A distanza di sei mesi, l’azienda di Redmond non ha rilasciato nessuna patch. In attesa dei fix è possibile seguire i suggerimenti inclusi nei bollettini di sicurezza (CVE-2024-21302 e CVE-2024-38202) per mitigare i rischi. Fortunatamente non sono stati rilevati exploit in circolazione (per adesso).
L’impatto delle vulnerabilità Zero-Day
Le vulnerabilità zero-day identificate consentono di effettuare un downgrade dei componenti critici di Windows, rendendo il sistema operativo suscettibile a attacchi che potrebbero sfruttare versioni obsolete di driver, DLL e kernel. Questi attacchi sono particolarmente pericolosi perché non vengono rilevati dai normali controlli di sicurezza e possono compromettere gravemente l’integrità e la sicurezza del sistema.
La minaccia ai sistemi di sicurezza virtualizzati
Uno degli aspetti più critici di queste vulnerabilità è la loro capacità di disattivare le funzionalità di sicurezza basate sulla virtualizzazione, come Credential Guard e Hypervisor-Protected Code integrity (HVCI). Queste funzionalità sono progettate per proteggere il sistema operativo da attacchi che tentano di accedere a credenziali sensibili e per garantire l’integrità del codice eseguito. Disattivandole, gli attaccanti possono ottenere un accesso privilegiato e eseguire codice non autorizzato.
Downgrade di componenti critici
Il tool Windows Downdate sviluppato da Leviev permette di eseguire un downgrade di componenti come Isolated User Mode Process, Secure Kernel e Hyper-V. Questi componenti sono fondamentali per la sicurezza del sistema operativo, e il loro downgrade a versioni vulnerabili permette agli attaccanti di sfruttare vecchie falle di sicurezza per ottenere un controllo maggiore sul sistema.
Come mitigare i rischi
In attesa che Microsoft rilasci le patch per queste vulnerabilità, gli amministratori di sistema possono adottare alcune misure per mitigare i rischi:
- Monitorare attentamente le versioni dei componenti di sistema: Verificare regolarmente che tutti i componenti critici siano aggiornati e non abbiano subito downgrade.
- Applicare le policy di sicurezza più restrittive: Configurare le policy di sicurezza per limitare l’accesso ai componenti di sistema e prevenire modifiche non autorizzate.
- Utilizzare strumenti di monitoraggio e rilevamento avanzati: Implementare soluzioni di sicurezza che possano rilevare attività anomale e tentativi di downgrade dei componenti di sistema.
Le vulnerabilità descritte dal ricercatore di SafeBreach rappresentano una seria minaccia per la sicurezza dei sistemi Windows. Sebbene Microsoft non abbia ancora rilasciato patch per risolvere questi problemi, è essenziale che gli amministratori di sistema adottino misure preventive per proteggere i loro sistemi. Continuare a monitorare le comunicazioni ufficiali di Microsoft per eventuali aggiornamenti e seguire le best practice di sicurezza può contribuire a mitigare i rischi associati a queste vulnerabilità zero-day.
