Τον Μάρτιο του περασμένου έτους, εμφανίστηκε η ευπάθεια BlackLotus UEFI Secure Boot, που διορθώθηκε ναι μεν, αλλά μπορούσε να παρακάμψει το Secure Boot, το VBS (Virtualization-based Security), το HVCI (Hypervisor-Protected Code Integrity) και πολλά άλλα, σε πλήρως ενημερωμένα συστήματα .
Χθες αναφέραμε τον ερευνητής ασφάλειας, Alon Leviev, ανέπτυξε το Windows Downdate, ένα “εργαλείο που επεμβαίνει στη διαδικασία του Windows Update για να δημιουργήσει πλήρως μη ανιχνεύσιμες, αόρατες, επίμονες και μη αναστρέψιμες υποβαθμίσεις σε κρίσιμα στοιχεία του λειτουργικού συστήματος”, όπως σε DLL, drivers, ακόμη και στον πυρήνα των Windows.
Ο ερευνητής στο Black Hat και στο DEF CON, πραγματοποίησε μια επίθεση υποβάθμισης, σε Windows πλήρως ενημερωμένα.
Στο παρακάτω βίντεο, το Ancillary Function kernel driver (AFD.SYS) υποβαθμίζεται σε παλαιότερη έκδοση σε ένα σύστημα με Windows 11 23H2.
Ο Anton Leviev παρείχε μια περίληψη του τρόπου λειτουργίας του Windows Downdate:
Πρώτον, είναι πλήρως μη ανιχνεύσιμη, έτσι ώστε οι λύσεις endpoint detection and response (EDR) να μην μπορούν να την εμποδίσουν.
Δεύτερον, η υποβάθμιση ήταν αόρατη. Τα υποβαθμισμένα στοιχεία εμφανίζονται ενημερωμένα, ακόμα κι αν έχουν υποβαθμιστεί τεχνικά.
Τρίτον, η υποβάθμιση είναι μόνιμη, έτσι ώστε οι μελλοντικές ενημερώσεις λογισμικού να μην αντικαθιστούν τα αρχεία.
Τέλος, η υποβάθμιση είναι μη αναστρέψιμη, έτσι ώστε τα εργαλεία σάρωσης και επισκευής να μην μπορούν να την ανιχνεύσουν ή να την επιδιορθώσουν.
Η Microsoft ειδοποιήθηκε για αυτήν την ευπάθεια πριν από τη δημόσια επίδειξη και παρακολουθεί το ελάττωμα στα αναγνωριστικά “CVE-2024-21302” και “CVE-2024-38202” στον ιστότοπο MSRC.
Δείτε το βίντεο
