El investigador de seguridad de SafeBreach, Alon Leviev (aka
_0xDeku/),
lanzó su herramienta
Windows Downdate, que se puede utilizar para ataques de degradación que reintroducen
vulnerabilidades antiguas en sistemas Windows 10, Windows 11 y Windows Server
actualizados.
En tales ataques, los actores de amenazas obligan a los dispositivos objetivo
actualizados a volver a versiones de software más antiguas, reintroduciendo
así vulnerabilidades de seguridad que pueden explotarse para comprometer el
sistema.
Windows Downdate está disponible como un programa de código abierto basado en
Python y un ejecutable de Windows precompilado que puede ayudar a degradar los
componentes del sistema Windows 10, Windows 11 y Windows Server.
Leviev también ha compartido
múltiples ejemplos de uso
que permiten degradar el hipervisor Hyper-V (a una versión de dos años), el
kernel de Windows, el controlador NTFS y el controlador Filter Manager (a sus
versiones base), y otros componentes y parches de seguridad aplicados
previamente.
«Puede usarse para degradar y exponer vulnerabilidades antiguas originadas
en DLL, controladores, el kernel NT, el Secure Kernel, el hipervisor, los
trustlets de IUM y más», explicó el investigador
de seguridad de SafeBreach, Alon Leviev.
«Aparte de las degradaciones personalizadas, Windows Downdate proporciona
ejemplos de uso fáciles de usar para revertir parches para CVE-2021-27090,
CVE-2022-34709, CVE-2023-21768 y PPLFault, así como ejemplos para degradar
el hipervisor, el kernel, y evitando los bloqueos UEFI de VBS.»
Como dijo Leviev en Black Hat 2024 cuando reveló el ataque de degradación de
Windows Downdate, que explota las vulnerabilidades
CVE-2024-21302
y
CVE-2024-38202, el uso de esta herramienta es indetectable porque no puede bloquearse
mediante detección y respuesta de endpoints (EDR). Windows Update sigue
informando que el sistema de destino está actualizado (a pesar de haber sido
degradado).
«Descubrí varias formas de desactivar la seguridad basada en virtualización
(VBS) de Windows, incluidas sus características como Credential Guard e
integridad del código protegido por hipervisor (HVCI), incluso cuando se
aplica con bloqueos UEFI. Hasta donde yo sé, esta es la primera vez que los
bloqueos UEFI VBS se han evitado sin acceso físico»,
dijo Leviev.
Como resultado, se puede hacer que una máquina con Windows completamente
parcheada sea susceptible a vulnerabilidades pasadas, convirtiendo las
vulnerabilidades reparadas en días cero y haciendo que el término
«completamente parcheada» carezca de significado en cualquier máquina con
Windows.
Si bien Microsoft lanzó una actualización de seguridad (KB5041773) para corregir la falla de escalamiento de privilegios del modo kernel
seguro de Windows CVE-2024-21302 el 7 de agosto, la compañía aún tiene que
proporcionar un parche para CVE-2024-38202, una vulnerabilidad de elevación de
privilegios de Windows Update Stack.
Hasta que se publique una actualización de seguridad, Redmond aconseja a los
clientes que implementen las
recomendaciones compartidas
en el aviso de seguridad publicado a principios de este mes para ayudar a
protegerse contra los ataques de degradación de Windows Downdate.
Las medidas de mitigación para este problema incluyen la configuración de
«Auditar acceso a objetos» para monitorear los intentos de acceso a archivos,
restringir las operaciones de actualización y restauración, usar listas de
control de acceso para limitar el acceso a archivos y auditar privilegios para
identificar intentos de explotar esta vulnerabilidad.
Fuente:
BC