Windows Update z lukami?
Na konferencji Black Hat w Las Vegas, Alon Leviev z SafeBreach Labs zademonstrował, jak poważne są luki w architekturze Microsoft Windows Update. Jego odkrycie pokazuje, że cyberprzestępcy mogą przeprowadzać ataki typu downgrade.
Te deaktualizują wersje systemu operacyjnego do starszych, podatnych na cyberataki. To sprawia, że nawet w pełni załatane komputery mogą stać się narażone na tysiące wcześniejszych luk bezpieczeństwa.
Leviev zademonstrował, jak za pomocą manipulacji plikiem XML listy akcji można przejąć kontrolę nad procesem aktualizacji systemu Windows.
Cyberprzestępcy mogą wprowadzić narzędzie „Windows Downdate”, które omija wszystkie etapy weryfikacji, w tym weryfikację integralności i egzekwowanie zaufanego instalatora. W rezultacie system operacyjny fałszywie zgłasza, że jest w pełni zaktualizowany, podczas gdy w rzeczywistości powrócił do podatnej na ataki wersji.
Jak odkryto luki w Windows Update?
Leviev podkreślił, że jego motywacją do zbadania aktualizacji systemu Windows było odkrycie BlackLotus UEFI Bootkit. Ten bowiem również zawierał komponent do obniżenia poziomu oprogramowania.
Przeanalizował kilka luk w architekturze Windows Update, które pozwoliły mu obniżyć kluczowe komponenty systemu operacyjnego i obejść blokady UEFI oraz mechanizmy Windows Virtualization-Based Security (VBS). To otworzyło drogę do ujawnienia wcześniejszych podatności na podniesienie uprawnień.
Reakcja Microsoftu
SafeBreach Labs zgłosiło te problemy Microsoftowi w lutym tego roku. Przez ostatnie sześć miesięcy pracowano nad rozwiązaniem problemu. Rzecznik Microsoftu poinformował, że firma pracuje nad aktualizacją zabezpieczeń, która usunie przestarzałe, nieopakowane pliki systemowe VBS, aby ograniczyć zagrożenie. Ze względu na złożoność blokowania tak dużej ilości plików wymagane są jednak rygorystyczne testy, aby uniknąć awarii lub regresji integracji.
Ataki typu downgrade, znane również jako rollback, przywracają w pełni zaktualizowane oprogramowanie do starszej wersji ze znanymi lukami. Leviev opisał te ataki jako „niewykrywalne” i „niewidoczne”, ostrzegając, że ich konsekwencje mogą wykraczać poza system operacyjny Windows.
Te niewidoczne ataki mogą stanowić poważne zagrożenie dla bezpieczeństwa danych i integralności systemów komputerowych na całym świecie.
W środę 7 sierpnia Microsoft opublikował dwa nowe poradniki opisujące odkryte przez Levieva luki w systemie Windows: CVE-2024-21302 i CVE-2024-38202. Firma pracuje nad aktualizacjami bezpieczeństwa, które mają na celu ograniczenie zagrożenia, ale na razie nie są one jeszcze dostępne. W międzyczasie Microsoft udostępnił wytyczne, które mają pomóc klientom zmniejszyć ryzyko związane z tymi podatnościami.
Windows Update – konsekwencje
Odkrycia Levieva pokazują, jak poważne mogą być konsekwencje luk w systemie aktualizacji oprogramowania. Ataki typu downgrade mogą sprawić, że nawet najbardziej zabezpieczone systemy staną się podatne na ataki.
To ostrzeżenie dla firm i użytkowników, że muszą być bardziej świadomi i zabezpieczeni przed potencjalnymi zagrożeniami. W obliczu rosnącej liczby cyberataków, dbanie o aktualność i integralność systemów staje się kluczowe dla zachowania bezpieczeństwa danych.
Ostatecznie, odkrycia Levieva są przypomnieniem, że w świecie technologii nie ma miejsca na samozadowolenie. Nawet najbardziej zaawansowane systemy wymagają ciągłej uwagi i aktualizacji, aby mogły być odporne na cyberataki.
