È stata denominata “Windows Downdate” la vulnerabilità critica nel framework di Windows Update, scoperta dai ricercatori di SafeBreach: se sfruttata, consente agli attaccanti di riportare i sistemi a versioni precedenti del software, reintroducendo così vulnerabilità precedentemente corrette.
Alon Leviev di SafeBreach ha dimostrato come sia possibile sfruttare il processo di aggiornamento di Windows per creare downgrade personalizzati di componenti critici del sistema operativo, esponendo il suo progetto di ricerca per la prima volta al Black Hat USA 2024 e poi al DEF CON 32 (2024).
Indice degli argomenti
Windows Downdate: il meccanismo di attacco
Il metodo di attacco sfrutta un aspetto particolarmente preoccupante, cioè la possibilità di bypassare la Driver Signature Enforcement (DSE), una funzionalità che impedisce il caricamento di driver non firmati.
Il bypass DSE “ItsNotASecurityBoundary” fa parte di una nuova classe di falle chiamate False File Immutability (FFI) che sfruttano ipotesi errate sull’immutabilità dei file.
In pratica, downgradando la patch DSE, gli attaccanti potrebbero prendere di mira componenti specifici essenziali essenziale per l’analisi dei cataloghi di sicurezza riportandoli a uno stato vulnerabile, consentendo in tal modo lo sfruttamento del bypass e l’ottenimento di privilegi a livello di kernel.
“Quando si ha a che fare con attacchi di downgrade, le informazioni chiave che dobbiamo raccogliere sono il modulo in cui è stata applicata la patch che vorremmo ripristinare e la versione del modulo che contiene il difetto non patchato. La patch si trova in ci.dll , quindi questo è il modulo che proveremo a declassare. La versione non patchata della DLL è 10.0.22621.1376.”, spiega Leviev, rimarcando il fatto che per effettuare il downgrade del modulo “ci.dll” a una versione vulnerabile e sfruttare la falla “ItsNotASecurityBoundary”, un attaccante dovrebbe prima disabilitare la VBS (Virtualization-Based Security), modificando le impostazioni del registro di sistema di Windows. Diversi sarebbero i modi possibili per disabilitare la VBS.
Un video dimostrativo mostra come il ricercatore sia riuscito ad applicare il suo exploit su una macchina Windows 11 23h2 completamente aggiornata.
Misure di mitigazione
Leviev, delineando i passaggi per sfruttare le vulnerabilità nei sistemi Windows con diversi livelli di protezione VBS, ha dimostrato che “per mitigare completamente l’attacco, VBS deve essere abilitato con il blocco UEFI e il flag “Mandatory”.
Poiché le conseguenze di questa vulnerabilità potrebbero essere davvero significative, gli attaccanti potrebbero ottenere privilegi elevati, eseguire codice arbitrario e mantenere il controllo persistente sui sistemi compromessi, risulta sempre importante assicurare l’aggiornamento dei sistemi con le ultime patch di sicurezza, utilizzare strumenti di gestione delle versioni per verificare l’integrità dei file di sistema e implementare soluzioni di monitoraggio per rilevare attività sospette, tentativi di downgrade e accessi non autorizzati.
“A differenza dei tradizionali attacchi Administrator-to-Kernel che si basano su driver di terze parti in un exploit in stile Bring-Your-Own-Vulnerable-Driver (BYOVD), gli attacchi di downgrade offrono maggiore flessibilità consentendo il downgrade di componenti di prima parte, incluso il kernel del sistema operativo stesso”, osserva Leviev che conclude: “Sebbene siano stati apportati miglioramenti significativi per rafforzare la sicurezza del kernel contro la compromissione da parte dei privilegi di amministratore, la possibilità di effettuare il downgrade dei componenti del kernel purtroppo rende la compromissione del kernel molto più semplice”.
