(https://i.postimg.cc/tTmT2tjX/Windows-Vulnerability.png) (https://postimg.cc/zbK8fhvM)
Microsoft dijo que está desarrollando actualizaciones de seguridad para abordar dos lagunas que, según dijo, podrían aprovecharse para realizar ataques de degradación contra la arquitectura de actualización de Windows y reemplazar las versiones actuales de los archivos del sistema operativo con versiones anteriores.
Las vulnerabilidades se enumeran a continuación:
CVE-2024-38202 (puntuación CVSS: 7,3 ): vulnerabilidad de elevación de privilegios en la pila de Windows Update
CVE-2024-21302 (puntuación CVSS: 6,7 ): vulnerabilidad de elevación de privilegios en el modo kernel seguro de Windows
El descubrimiento y la notificación de las fallas se atribuyen al investigador de SafeBreach Labs Alon Leviev, quien presentó los hallazgos en Black Hat USA 2024 y DEF CON 32.
El gigante tecnológico afirmó que la vulnerabilidad CVE-2024-38202, que tiene su raíz en el componente Windows Backup, permite a un "atacante con privilegios de usuario básicos reintroducir vulnerabilidades mitigadas previamente o eludir algunas características de la seguridad basada en virtualización (VBS).
Sin embargo, señaló que un atacante que intente aprovechar la falla tendría que convencer a un administrador o un usuario con permisos delegados para que realice una restauración del sistema que, sin darse cuenta, activa la vulnerabilidad.
La segunda vulnerabilidad también se refiere a un caso de escalada de privilegios en sistemas Windows que admiten VBS, lo que permite efectivamente a un adversario reemplazar versiones actuales de archivos del sistema Windows con versiones obsoletas.
Las consecuencias de la vulnerabilidad CVE-2024-21302 son que podría utilizarse como arma para reintroducir fallas de seguridad previamente abordadas, eludir algunas características de VBS y exfiltrar datos protegidos por VBS.
Leviev, que detalló una herramienta llamada Windows Downdate, dijo que podría utilizarse para convertir una "máquina Windows completamente parcheada en susceptible a miles de vulnerabilidades pasadas, convirtiendo las vulnerabilidades corregidas en vulnerabilidades de día cero y haciendo que el término 'completamente parcheado' no tenga sentido en cualquier máquina Windows del mundo".
La herramienta, añadió Leviev, podría "hacerse cargo del proceso de Windows Update para crear versiones inferiores totalmente indetectables, invisibles, persistentes e irreversibles de componentes críticos del sistema operativo, lo que me permitió elevar privilegios y eludir las funciones de seguridad".
Además, Windows Downdate es capaz de eludir los pasos de verificación, como la verificación de integridad y la aplicación del instalador de confianza, lo que hace posible de manera efectiva la versión inferior de componentes críticos del sistema operativo, incluidas las bibliotecas de vínculos dinámicos (DLL), los controladores y el núcleo NT.
Además, los problemas podrían aprovecharse para degradar el proceso de modo de usuario aislado de Credential Guard, el kernel seguro y el hipervisor de Hyper-V para exponer vulnerabilidades de escalada de privilegios anteriores, así como para deshabilitar VBS, junto con funciones como la integridad del código protegido por hipervisor (HVCI).
El resultado neto es que un sistema Windows completamente parcheado podría volverse susceptible a miles de vulnerabilidades pasadas y convertir las deficiencias corregidas en días cero.
Estas degradaciones tienen un impacto adicional en el sistema operativo, ya que informa que el sistema está completamente actualizado, al mismo tiempo que impide la instalación de futuras actualizaciones e inhibe la detección por parte de herramientas de recuperación y escaneo.
"El ataque de degradación que pude lograr en la pila de virtualización dentro de Windows fue posible debido a una falla de diseño que permitía que los niveles/anillos de confianza virtuales menos privilegiados actualizaran los componentes que residen en niveles/anillos de confianza virtuales más privilegiados", dijo Leviev.
"Esto fue muy sorprendente, dado que las características VBS de Microsoft se anunciaron en 2015, lo que significa que la superficie de ataque de degradación que descubrí ha existido durante casi una década".
Fuente:
The Hacker News
https://thehackernews.com/2024/08/windows-downgrade-attack-risks-exposing.html