Microsoft va dir que està desenvolupant actualitzacions de seguretat per abordar dues llacunes que, segons va dir, es podrien abusar per organitzar atacs d’utilització de versions anteriors contra l’arquitectura d’actualització de Windows i substituir les versions actuals dels fitxers del sistema operatiu per versions anteriors.

Les vulnerabilitats s’enumeren a continuació:

• CVE-2024-38202 (puntuació CVSS: 7,3) – Vulnerabilitat d’elevació de privilegis del monticle de Windows Update
• CVE-2024-21302 (puntuació CVSS: 6,7) – Vulnerabilitat d’elevació de privilegis en mode de nucli segur de Windows

Han estat revelades per Alon Leviev, investigador de SafeBreach Labs, que va presentar les troballes a Black Hat EUA 2024 i DEF AMB 32.

CVE-2024-38202, que està arrelat al component de còpia de seguretat de Windows, permet que un «atacant amb privilegis bàsics d’usuari reintrodueixi vulnerabilitats mitigues anteriorment o eludeixi algunes característiques de la seguretat basada en la virtualització (VBS)», va dir el gegant tecnològic.

Tanmateix, va assenyalar que un atacant que intentés aprofitar el defecte hauria de convèncer un administrador o un usuari amb permisos delegats perquè faci una restauració del sistema que desencadeni la vulnerabilitat sense voler.

La segona vulnerabilitat també es refereix a un cas d’escalada de privilegis en sistemes Windows que admeten VBS, la qual cosa permet que un adversari substitueixi les versions actuals dels fitxers del sistema de Windows per versions obsoletes.

Les conseqüències de la CVE-2024-21302 són que es podria convertir en un arma d’atac per reintroduir defectes de seguretat resolts anteriorment, evitar algunes funcions de VBS i exfiltrar dades protegides per VBS.

Leviev, que va detallar una eina anomenada Windows Downdate, va dir que es podria fer servir per convertir una «màquina Windows completament apedaçada i susceptible a milers de vulnerabilitats passades, convertir les vulnerabilitats resoltes en dies zero i fer que el terme “completament apedaçat” no tingui sentit a qualsevol màquina Windows del món».

L’eina, va afegir Leviev, podria «assumir el procés d’actualització de Windows per crear actualitzacions a versions anteriors totalment indetectables, invisibles, persistents i irreversibles en components crítics del sistema operatiu, que em van permetre augmentar els privilegis i evitar les funcions de seguretat».

A més, Windows Downdate és capaç de passar per alt els passos de verificació, com ara la verificació d’integritat i l’aplicació de l’instal·lador de confiança, i fer possible de manera efectiva el fet de tornar a una versió anterior dels components crítics del sistema operatiu, incloses les biblioteques d’enllaços dinàmics (DLL), els controladors i el nucli NT.

Els problemes, a més d’això, es podrien aprofitar per rebaixar el procés de mode d’usuari aïllat de Credential Guard, el nucli segur i l’hipervisor d’Hyper-V per exposar vulnerabilitats d’escalada de privilegis anteriors, així com desactivar VBS, juntament amb funcions com la integritat del codi protegit per hipervisor ( HVCI).

El resultat net és que un sistema Windows completament apedaçat podria fer-se susceptible a milers de vulnerabilitats passades i convertir les deficiències solucionades en dies zero.

Aquestes actualitzacions a versions anteriors tenen un impacte afegit, ja que el sistema operatiu informa que el sistema està completament actualitzat, alhora que impedeix la instal·lació d’actualitzacions futures i inhibeix la detecció mitjançant eines de recuperació i escaneig.

«L’atac de tornar a versions anteriors que vaig poder aconseguir al monticle de virtualització de Windows va ser possible a causa d’un defecte de disseny que va permetre que els nivells/anells de confiança virtuals menys privilegiats actualitzessin components que resideixen en nivells/anells de confiança virtuals més privilegiats», va dir Leviev.

«Això va ser molt sorprenent, atès que les funcions VBS de Microsoft es van anunciar el 2015, cosa que significa que la superfície d’atac de tornar a una versió anterior que vaig descobrir ha funcionat durant gairebé una dècada.»