Um dos conselhos mais importantes quando se trata de segurança de dispositivos eletrônicos é garantir que eles estejam atualizados.
Um pesquisador de segurança descobriu um novo ataque que faz downgrade de dispositivos Windows permanentemente. Informações sobre o ataque estão disponíveis no siteSafeBreachsite.
A Microsoft lança atualizações mensais de segurança para Windows. Também pode lançar atualizações de segurança fora dos limites; estes são lançados quando novas vulnerabilidades são exploradas ativamente.
Bom saber: o downgrade refere-se à desinstalação de determinadas atualizações de um dispositivo. Isso pode se referir à desinstalação de atualizações de recursos mais recentes, mas também à desinstalação de uma versão mais recente do Windows.
Embora às vezes seja necessário fazer downgrade de um PC, por exemplo, quando uma nova versão está causando problemas que não podem ser corrigidos no momento, o processo também pode ser usado para remover certas atualizações de segurança ou proteções do sistema operacional.
O pesquisador de segurança Alon Leviev desenvolveu a ferramenta Windows Downdate para demonstrar que ataques de downgrade são possíveis, mesmo em versões totalmente corrigidas do Windows.
Ele descreve a ferramenta da seguinte maneira: “uma ferramenta para assumir o processo do Windows Update para criar downgrades totalmente indetectáveis, invisíveis, persistentes e irreversíveis em componentes críticos do sistema operacional – o que me permitiu elevar privilégios e ignorar recursos de segurança”.
Com a ajuda da ferramenta, Leviev conseguiu transformar dispositivos Windows totalmente corrigidos e protegidos em dispositivos Windows desatualizados que eram “suscetíveis a milhares de vulnerabilidades anteriores”.
Leviev revelou o projeto de pesquisa na Black Hat USA 2024 e na Def Con 32. Ele conseguiu fazer o downgrade de um sistema Windows totalmente corrigido com sucesso durante as demonstrações e preparou os sistemas de uma maneira especial, para que o Windows Update não encontrasse novas atualizações.
Para piorar a situação, o ataque de downgrade é indetectável pelas soluções de detecção e resposta de endpoint e invisível em relação aos componentes do sistema operacional. Ou seja, o sistema operacional parece atualizado, quando na verdade não está.
Mais leitura:Referências a ‘homeOS’ descobertas no tvOS 17.4 beta
O rebaixamento também é persistente e irreversível. O último significa que as ferramentas de verificação e reparo não detectam problemas ou podem reparar o downgrade.
Você pode conferir a postagem do blog no site SafeBreach para obter detalhes técnicos.
Resposta da Microsoft
A Microsoft foi informada antecipadamente sobre a vulnerabilidade. Ele está rastreando os problemas aqui:
- CVE-2024-21302— Vulnerabilidade de elevação de privilégio do modo kernel seguro do Windows
- CVE-2024-38202— Vulnerabilidade de elevação de privilégio de pilha do Windows Update
A gravidade máxima de ambos os problemas foi definida como importante pela Microsoft.
A Microsoft já adicionou uma detecção ao Microsoft Defender for Endpoint. Isso foi projetado para alertar os clientes sobre tentativas de exploração.
A empresa está recomendando diversas ações nesse sentido. Embora não “mitiguem a vulnerabilidade”, “reduzem o risco de exploração”.
Resumindo:
- Defina as configurações de “Auditoria de acesso a objetos” para monitorar tentativas de acesso a arquivos, como criação de manipuladores, operações de leitura/gravação ou modificações em descritores de segurança.
- A auditoria de privilégios confidenciais usados para identificar o acesso, modificação ou substituição de arquivos relacionados ao VBS pode ajudar a indicar tentativas de explorar esta vulnerabilidade.
- Proteja seu locatário do Azure investigando administradores e usuários sinalizados para entradas arriscadas e alternando suas credenciais.
- Habilitar a autenticação multifator também pode ajudar a aliviar preocupações sobre contas comprometidas ou exposição.
Palavras finais
O ataque requer privilégios administrativos. Uma boa precaução é usar uma conta de usuário normal para as atividades diárias em PCs com Windows. A Microsoft lançará uma correção para o problema no futuro.
Qual é a sua opinião sobre isso? Sinta-se à vontade para deixar um comentário abaixo.