SafeBreachi turvauurija Alon Leviev avaldas oma Windowsi alandamine tööriist, mida saab kasutada alandamise rünnakute jaoks, mis taastavad vanad haavatavused ajakohastatud Windows 10, Windows 11 ja Windows Server süsteemides.
Selliste rünnete korral sunnivad ohus osalejad ajakohaseid sihitud seadmeid naasma vanematele tarkvaraversioonidele, tuues seega uuesti kasutusele turvanõrkused, mida saab ära kasutada süsteemi ohustamiseks.
Windows Downdate on saadaval avatud lähtekoodiga Pythonil põhineva programmina ja eelkompileeritud Windowsi täitmisfailina, mis võib aidata Windows 10, Windows 11 ja Windows Serveri süsteemikomponente alandada.
Leviev on jaganud ka mitmeid kasutusnäiteid, mis võimaldavad Hyper-V hüperviisori (kahe aasta vanusele versioonile), Windows Kerneli, NTFS-draiveri ja Filter Manageri draiveri (nende põhiversioonidele) ning muude Windowsi komponentide ja varem rakendatud turvapaigad.
“Saate seda kasutada Windowsi värskenduste ülevõtmiseks, et alandada ja paljastada varasemad haavatavused, mis pärinevad DLL-idest, draiveritest, NT-tuumast, turvatuumast, hüperviisorist, IUM-i usalduslettidest ja mujalt,” selgitas SafeBreachi turbeuurija Alon Leviev.
Lisaks kohandatud alandamisele pakub Windows Downdate hõlpsasti kasutatavaid kasutusnäiteid CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 ja PPLFaulti paikade ennistamise kohta, samuti näiteid hüperviisori, kerneli, ja mööda VBS-i UEFI lukkudest.”
Nagu Leviev ütles Black Hat 2024 ajal, kui ta avalikustas Windowsi allakäigu rünnaku, mis kasutab ära CVE-2024-21302 ja CVE-2024-38202 haavatavused, on selle tööriista kasutamine tuvastamatu, kuna seda ei saa blokeerida lõpp-punkti tuvastamise ja reageerimisega (EDR). lahendused ja Windows Update teatab pidevalt, et sihitud süsteem on ajakohane (hoolimata sellest, et see on alandatud).
“Avastasin mitu võimalust Windowsi virtualiseerimisel põhineva turbe (VBS) keelamiseks, sealhulgas selle funktsioonid, nagu Credential Guard ja Hypervisor-Protected Code terviklikkus (HVCI), isegi kui need on jõustatud UEFI lukkudega. Minu teada on see esimene kord, kui VBS kasutab UEFI lukkudest on mööda viidud ilma füüsilise juurdepääsuta,“ ütles Leviev.
“Selle tulemusel suutsin teha täielikult paigatud Windowsi masina vastuvõtlikuks tuhandetele varasematele haavatavustele, muutes fikseeritud haavatavused nullpäevadeks ja muutes mõiste “täielikult lapitud” mõttetuks mis tahes Windowsi masinas maailmas.”
Kuigi Microsoft andis 7. augustil välja turbevärskenduse (KB5041773), et parandada Windowsi turvalise tuumarežiimi privileegide eskalatsioonivea CVE-2024-21302, ei ole ettevõte veel pakkunud plaastrit CVE-2024-38202 jaoks, mis on Windowsi värskenduste pinu õiguste tõstmine. haavatavus.
Kuni turbevärskenduse avaldamiseni soovitab Redmond klientidel rakendada selle kuu alguses avaldatud turbenõuannetes jagatud soovitusi, et aidata kaitsta Windowsi alandamise rünnakute eest.
Selle probleemi leevendusmeetmed hõlmavad “Audit Object Access” sätete konfigureerimist failidele juurdepääsu katsete jälgimiseks, värskendamis- ja taastamistoimingute piiramist, juurdepääsukontrolli loendite kasutamist failidele juurdepääsu piiramiseks ja auditeerimisõigusi, et tuvastada katsed seda haavatavust ära kasutada.
