Existe uma nova maneira assustadora de desfazer patches de segurança do Windows

gurinho
Pessoa sentada usando um computador HP com Windows 11.
Microsoft

Os patches de segurança para Windows são essenciais para manter seu PC protegido contra o desenvolvimento de ameaças. Mas os ataques de downgrade são uma forma de contornar os patches da Microsoft, e um pesquisador de segurança decidiu mostrar o quão fatais eles podem ser.

O pesquisador de segurança do SafeBreach, Alon Leviev, mencionou em uma postagem no blog da empresa que eles criaram algo chamado ferramenta Windows Downdate como uma prova de conceito. A ferramenta cria downgrades persistentes e irreversíveis em sistemas Windows Server e componentes do Windows 10 e 11.

Leviev explica que sua ferramenta (e ameaças semelhantes) realiza um ataque de reversão de versão, “projetado para reverter um software imune e totalmente atualizado para uma versão mais antiga. Eles permitem que atores mal-intencionados exponham e explorem vulnerabilidades previamente corrigidas/corrigidas para comprometer sistemas e obter acesso não autorizado.”

Ele também menciona que você pode usar a ferramenta para expor o PC a vulnerabilidades mais antigas originadas em drivers, DLLs, Kernel Seguro, Kernel NT, Hipervisor e muito mais. Leviev postou o seguinte no X (anteriormente Twitter) : “Além de downgrades personalizados, o Windows Downdate fornece exemplos de uso fáceis de usar de reversão de patches para CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 e PPLFault, bem como exemplos para fazer downgrade do hipervisor, do kernel e contornar os bloqueios UEFI do VBS.”

O que também é preocupante é que a ferramenta é indetectável porque não pode ser bloqueada por soluções de detecção e resposta de endpoint (EDR), e seu computador Windows continuará informando que está atualizado, mesmo que não esteja. Ele também descobriu várias maneiras de desativar a segurança baseada em virtualização (VBS) do Windows , incluindo integridade de código protegido por hipervisor (HVCI) e Credential Guard.

A Microsoft lançou uma atualização de segurança (KB5041773) em 7 de agosto para corrigir a falha de escalonamento de privilégios do Modo Kernel Seguro do Windows CVE-2024-21302 e um patch para CVE-2024-38202 . A Microsoft também lançou algumas dicas que os usuários do Windows podem seguir para se manterem seguros, como definir as configurações de “Auditoria de acesso a objetos” para verificar tentativas de acesso a arquivos. O lançamento desta nova ferramenta mostra como os PCs estão expostos a todos os tipos de ataques e como você nunca deve baixar a guarda quando se trata de segurança cibernética.

A boa notícia é que podemos ficar tranquilos por enquanto, já que a ferramenta foi criada como uma prova de conceito, um exemplo de “hacking de chapéu branco” para descobrir vulnerabilidades antes que os atores da ameaça o façam. Além disso, Leviev entregou suas descobertas à Microsoft em fevereiro de 2024 e, esperançosamente, a gigante do software terá as correções necessárias em breve.