SafeBreach Güvenlik Araştırmacısı Alon Leviev, eski Windows 10, Windows 11 ve Windows Server sistemlerindeki eski güvenlik açıklarını yeniden tanıtan indirme saldırıları için kullanılabilecek Windows Downdate aracını yayınladı.
Bu tür saldırılarda, tehdit aktörleri güncel yazılım sürümlerine geri dönmeye zorlanır, böylece sistemi tehlikeye atmak için kullanılabilecek güvenlik açıklarını yeniden tanıtar.
Windows Downdate, açık kaynaklı Python tabanlı bir program ve Windows 10, Windows 11 ve Windows Server sistem bileşenlerini düşürmeye yardımcı olabilecek önceden derlenmiş bir Windows yürütülebilir ürün olarak kullanılabilir.
Leviev ayrıca, Hyper-V hipervizörünün (iki yaşındaki bir versiyona), Windows çekirdeğini, NTFS sürücüsünü ve filtre yöneticisi sürücüsünü (temel sürümlerine) ve diğer pencereler bileşenlerine ve diğer pencerelere düşürmeye izin veren birden fazla kullanım örneği paylaştı. daha önce uygulanan güvenlik yamaları.
Safe Break Güvenlik Araştırmacısı Alon Leviev, "Bunu," Bunu, DLL'lerde, sürücülerde, NT çekirdeğinde, güvenli çekirdeğe, hipervizöre, IUM güvenletlerine ve daha fazlasına tedarik edilen geçmiş güvenlik açıklarını düşürmek için Windows güncellemelerini devralmak için kullanabilirsiniz. "
"Windows Downdate, özel indirimler dışında, CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 ve PPLFault için geri dönme yamalarının kullanımı kolay kullanım örnekleri ve ayrıca hipervisor, çekirdek. ve VBS'nin UEFI kilitlerini atlamak. "
Leviev'in Black Hat 2024'te söylediği gibi, CVE-2024-21302 ve CVE-2024-38202 güvenlik açıklarını kullanan Windows Downdate Downgrad Saldırısı'nı açıkladığında-bu aracı kullanmak tespit edilemez çünkü uç nokta tespiti ve yanıtı (EDR) tarafından engellenemez çünkü tespit edilemez çünkü Çözümler ve Windows Update, hedeflenen sistemin güncel olduğunu bildirmeye devam eder (düşürülmesine rağmen).
"UEFI kilitleri ile uygulandığında bile, kimlik bilgisi koruma ve hipervizör korumalı kod bütünlüğü (HVCI) gibi özellikleri de dahil olmak üzere Windows sanallaştırma tabanlı güvenlik (VBS) devre dışı bırakmanın birçok yolunu keşfettim. UEFI kilitleri fiziksel erişim olmadan atlandı. "Dedi.
"Sonuç olarak, tamamen yamalı bir Windows makinesini binlerce geçmiş güvenlik açıklarına duyarlı hale getirebildim, sabit güvenlik açıklarını sıfır günlere dönüştürdüm ve dünyadaki herhangi bir Windows makinesinde" tamamen yamalı "terimini anlamsız hale getirdim.
Microsoft, CVE-2024-21302 Windows Güvenli Çekirdek modu ayrıcalık artış kusurunu düzeltmek için bir güvenlik güncellemesi (KB5041773) yayınlarken, şirket henüz CVE-2024-38202 için bir yama sağlamadı, bir Windows güncelleme yığını yüksekliği ayrıcalığının yüksekliği güvenlik açığı.
Bir güvenlik güncellemesi yayınlanana kadar Redmond, müşterilere Windows Downdate indirme saldırılarına karşı korunmaya yardımcı olmak için bu ayın başlarında yayınlanan güvenlik danışmanında paylaşılan önerileri uygulamalarını tavsiye eder.
Bu sorun için azaltma önlemleri, dosya erişim denemelerini izlemek, güncellemeleri kısıtlamak ve geri yüklemek için "denetim nesnesi erişimi" ayarlarının yapılandırılması, dosya erişimini sınırlamak için erişim denetim listelerini kullanma ve bu güvenlik açığını kullanma girişimlerini belirlemek için ayrıcalıkları denetleme yer alır.
Windows Update Downgrade Saldırı "Uncatches" tam güncellenmiş sistemler
Windows 11 KB5040527 Güncelleme Windows yedekleme hatalarını düzeltiyor
Ağustos Windows Güvenlik Güncellemesi Linux Systems'ta çift önyüklemeyi kırıyor
Windows 11 Önizleme Güncellemesi yeni güç modu seçenekleri ekler
Microsoft Ağustos 2024 Patch Salı 9 sıfır gün, 6 sömürü düzeltiyor
Kaynak: Bleeping Computer