Aktualizacje systemów Windows – zarówno 10 i 11 – pojawiają się dość często, nie może zatem dziwić, że jakiekolwiek wykryte w nich luki stanowią zagrożenie dla milionów użytkowników na całym świecie. Najnowsze informacje pochodzą z badań zaprezentowanych na konferencji firmy Black Hat, poświęconej bezpieczeństwu. Ujawniona wada projektowa w architekturze Windows Update umożliwia obniżenie wersji krytycznych komponentów systemu operacyjnego poprzez manipulację procesem aktualizacji.
Aktualizowanie Windows jest ryzykowne?
Podczas wspomnianej konferencji Alon Leviev, badacz z SafeBreach, przedstawił metodę wykorzystania procesu aktualizacji systemu Windows, umożliwiającą atakującym obniżenie wersji systemu do wcześniejszych. Proces ten ponownie wprowadza luki, które zostały już załatane w bieżących wersjach systemu Windows. Luka pozwala na utworzenie niestandardowej listy działań związanych z obniżeniem wersji, która jest dodawana do rejestru systemu.
Zmieniając nazwę folderu plików, atak omija zabezpieczenia oparte na wirtualizacji (VBS), umożliwiając kontrolę nad działaniami aktualizacyjnymi, takimi jak tworzenie, usuwanie i modyfikacja rejestru. Dzięki temu atak wygląda na legalną aktualizację i jest niewykrywalny przez standardowe narzędzia bezpieczeństwa. A co dalej? Po obniżeniu wersji bezpiecznego jądra osoba atakująca może wyłączyć VBS, ominąć blokady UEFI i wyodrębnić dane uwierzytelniające, nawet w przypadku restrykcyjnych ustawień, takich jak Credential Guard i Windows Defender!
Czytaj też: Microsoft chce zintegrować Copilot z menu Start w Windows 11
Atak ułatwia podniesienie uprawnień z poziomu administratora na poziom jądra, co zapewnia atakującym dostęp do wszystkich izolowanych środowisk i możliwość wykorzystania wcześniejszych luk w stosie wirtualizacji. Mówiąc ogólnie – zyskuje się dostęp do praktycznie wszystkiego w maszynie. Microsoft potwierdził istnienie luki i pracuje nad rozwiązaniami, które ją zlikwidują. Jednakże jest to proces złożony ze względu na wpływ na wiele innych programów.
Ponadto konieczne są rygorystyczne testy, aby uniknąć błędów. Dobra wiadomość jest taka, że Microsoft twierdzi, że nie zaobserwował jeszcze żadnego wykorzystania tej luki. I oby tak pozostało.