Esta exploração do Windows Update é absolutamente assustadora
Ocasionalmente, o Windows Update pode sair pela culatra com patches defeituosos , mas na maioria das vezes, o objetivo é nos manter protegidos contra as ameaças mais recentes. A Microsoft lança regularmente novos patches que abordam vulnerabilidades potenciais. Mas e se houvesse uma ferramenta que pudesse desfazer todas as atualizações do Windows e deixar seu PC exposto a todas as ameaças que a Microsoft pensava já ter corrigido? Más notícias: essa ferramenta já existe e se chama Windows Downdate.
Não se preocupe, no entanto. Você está protegido contra o Windows Downdate – pelo menos por enquanto. A ferramenta foi desenvolvida como uma prova de conceito pelo pesquisador do SafeBreach, Alon Leviev, e embora seu potencial seja assustador, ela foi feita de boa fé como um exemplo de algo chamado “hacking de chapéu branco”, onde os pesquisadores tentam encontre vulnerabilidades antes que os agentes de ameaças mal-intencionados possam fazê-lo primeiro.
No caso do Windows Downdate, se cair em mãos erradas, o impacto poderá ser surpreendente. A exploração depende de uma falha no Windows Update para instalar atualizações mais antigas onde certas vulnerabilidades ainda não foram corrigidas. Leviev usou a ferramenta para fazer downgrade de bibliotecas de vínculo dinâmico (DLL), drivers e até mesmo do kernel do NT, que é um componente central do Windows. Isto é conseguido ignorando todas as verificações, e o resultado é totalmente invisível e irreversível.
“Consegui tornar uma máquina Windows totalmente corrigida suscetível a milhares de vulnerabilidades anteriores, transformando vulnerabilidades corrigidas em dia zero e tornando o termo ‘totalmente corrigido’ sem sentido em qualquer máquina Windows no mundo”, disse Leviev em uma postagem do SafeBreach . “Após esses downgrades, o sistema operacional relatou que estava totalmente atualizado e não foi capaz de instalar atualizações futuras, enquanto as ferramentas de recuperação e verificação não conseguiram detectar problemas.”
Leviev também descobriu que toda a pilha de virtualização do Windows também era suscetível a essa exploração; o pesquisador conseguiu fazer o downgrade do processo de modo de usuário isolado do Credential Guard, do hipervisor do Hyper-V e do kernel seguro. Leviev até encontrou “várias maneiras” de desativar a segurança baseada em virtualização (VBS) no Windows, e isso ainda era possível mesmo quando os bloqueios UEFI eram aplicados.
“Que eu saiba, esta é a primeira vez que os bloqueios UEFI da VBS foram contornados sem acesso físico”, disse Leviev.
O Windows Downdate pode essencialmente desfazer todos os patches de segurança já criados e, em seguida, fazer com que o PC pense que está tudo bem, pois o expõe furtivamente a centenas de ameaças diferentes. Uma ferramenta como essa pode causar sérios estragos em qualquer sistema operacional, e Leviev suspeita que outros sistemas operacionais, como MacOS e Linux, também possam estar em risco.
A boa notícia é que Leviev pretendia proteger os usuários do Windows de uma ferramenta como esta, e o pesquisador relatou suas descobertas à Microsoft em fevereiro de 2024. A Microsoft emitiu dois CVEs em resposta ( CVE-2024-21302 e CVE-2024-38202 ) e parece estar trabalhando arduamente para corrigir essa vulnerabilidade. Esperemos que a Microsoft seja mais rápida em corrigir essa exploração do que hackers não éticos em usá-la em seu próprio benefício.
