Un ricercatore di SafeBreach ha descritto al Black Hat 2024 due gravi vulnerabilità zero-day che possono essere sfruttate per effettuare un “downgrade attack“, ovvero installare vecchie versioni dei componenti di Windows su sistemi aggiornati. Microsoft non ha ancora rilasciato le patch per risolvere il problema di sicurezza.
Downgrade invisibile e persistente
Il ricercatore Alon Leviev ha sviluppato un tool, denominato Windows Downdate, che consente di disattivare alcune protezioni di Windows 10/11 ed effettuare il downgrade dei componenti critici del sistema operativo, tra cui DLL, driver e kernel NT. È possibile quindi installare vecchie versioni vulnerabili che risultano aggiornati. Effettuando una verifica con Windows Update verrà mostrato il messaggio “Gli ultimi aggiornamenti sono stati installati“.
In dettaglio, il ricercatore è riuscito a disattivare le funzionalità di Virtualization-based security (VBS), tra cui Credential Guard e Hypervisor-Protected Code integrity (HVCI). Sfruttando le vulnerabilità zero-day ha effettuato il downgrade di Isolated User Mode Process, Secure Kernel e Hyper-V, ripristinando versioni con vulnerabilità che consentono l’escalation di privilegi.
Il downgrade attack implementato dal ricercatore è invisibile, persistente e irreversibile. Al termine della ricerca degli aggiornamenti, Windows Update comunicherà che il sistema operativo è aggiornato. Sul sito di SafeBreach sono stati pubblicati tutti i dettagli tecnici e alcune demo degli attacchi.
Microsoft è stata informata a febbraio. A distanza di sei mesi, l’azienda di Redmond non ha rilasciato nessuna patch. In attesa dei fix è possibile seguire i suggerimenti inclusi nei bollettini di sicurezza (CVE-2024-21302 e CVE-2024-38202) per mitigare i rischi. Fortunatamente non sono stati rilevati exploit in circolazione (per adesso).