Zero day zraniteľnosti Windows vedú k downgrade systému
Bezpečnostný výskumník spoločnosti SafeBreach Alon Leviev na konferencii Black Hat 2024 odhalil dve zero-day zraniteľnosti. Vysoko závažné zraniteľnosti sa týkajú zvyšovania privilégií v systéme Windows Backup (VBS) vrátane podmnožiny Azure Virtual Machine SKUS.
Zraniteľné systémy:
- Windows 10
- Windows 11
- Windows Server
Opis činnosti:
Pri útokoch typu downgrade nútia aktéri hrozieb cieľové zariadenie vrátiť sa k starším/predošlým verziám softvéru, čím sa v ňom opätovne sprístupnia zraniteľnosti, ktoré môžu byť zneužité na kompromitáciu systému.
Bezpečnostný výskumník spoločnosti SafeBreach, Alon Leviev, zistil, že proces aktualizácie systému Windows môže byť kompromitovaný takým spôsobom, ktorým sa zníži verzia komponentov operačného systému, vrátane dynamických knižníc (DLL) a jadra NT. Napriek tomu, že tieto komponenty sú neaktualizované, systém Windows Update hlási, že operačný systém je plne aktualizovaný, a nástroje na obnovu a skenovanie nedokážu odhaliť žiadne problémy.
CVE-2024-21302 (CVSS skóre 6,7) a CVE-2024-38202 (CVSS skóre 7,3)
Vysoko závažné zraniteľnosti CVE-2024-21302 a CVE-2024-38202 sa nachádzajú v systéme Windows Backup, vrátane podmnožiny Azure Virtual Machine SKUS, a týkajú sa zvýšenia oprávnení. Chyba umožňuje útočníkovi so základnými používateľskými oprávneniami obchádzať niektoré funkcie Virtualization Based Security (VBS), čo môže viesť k zavedeniu predtým zmiernených zraniteľností a k infiltrácii údajov chránených VBS.
Pre úspešné zneužitie zraniteľnosti CVE-2024-38202 je potrebná interakcia zo strany privilegovaného používateľa.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Zvýšenie privilégií
- Exfiltrácia údajov
Odporúčania:
V súčasnosti neexistuje opravná aktualizácia, preto Microsoft odporúča pre zníženie rizika zneužitia dodržať nasledujúce kroky, ktoré nájdete tu.
Odkazy:
https://thehackernews.com/2024/08/windows-downgrade-attack-risks-exposing.html
https://www.bleepingcomputer.com/news/microsoft/windows-update-downgrade-attack-unpatches-fully-updated-systems/
https://www.tenable.com/cve/CVE-2024-38202
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202