### Критические уязвимости в Microsoft Windows: новый PoC-эксплойт «Windows Downdate»
Недавно на конференциях Black Hat USA 2024 и DEF CON 32 исследователь компании SafeBreach Алон Левиев представил доказательство концепции (PoC) эксплойта, демонстрирующего критические уязвимости нулевого дня в Microsoft Windows. Эти уязвимости, обозначенные как CVE-2024-38202 и CVE-2024-21302, позволяют осуществить так называемую «атаку понижения версии».
#### Понимание уязвимостей
Обнаруженные уязвимости позволяют злоумышленнику манипулировать процессом обновления Windows, что позволяет незаметно понизить версию полностью обновленной системы до более старой и уязвимой. Это фактически возрождает ранее решенные проблемы безопасности, делая их снова эксплуатируемыми.
Левиев подчеркнул серьезность ситуации, заявив: «В результате я смог сделать полностью обновленную машину Windows уязвимой для тысяч прошлых уязвимостей, превращая исправленные уязвимости в нулевые дни и делая термин ‘полностью обновленная’ бессмысленным для любой машины Windows в мире.»
#### Технические последствия
Эксплойт, названный «Windows Downdate», был опубликован на GitHub для повышения осведомленности. Этот инструмент автоматизирует эксплуатацию двух уязвимостей нулевого дня, позволяя контролировать процесс обновления Windows и создавать «полностью незаметные, невидимые, постоянные и необратимые понижения» на критических компонентах операционной системы.
«Windows Downdate» способен обходить проверку целостности, принудительное выполнение Trusted Installer и различные проверки безопасности, что позволяет понижать версии важных DLL-файлов Windows, драйверов и даже ядра NT. Кроме того, он может понижать компоненты, такие как Credential Guard и Hyper-V, вновь открывая уязвимости повышения привилегий.
#### Реакция Microsoft
Microsoft признала наличие этих уязвимостей в консультативных документах, выпущенных 7 августа, и заявила, что активно работает над патчами. Однако, спустя месяц после этого, исправления все еще не были доступны, что побудило Левиева опубликовать PoC для ускорения осведомленности и поощрения более быстрых усилий по устранению.
В своем консультативном документе для CVE-2024-21302 Microsoft заявила: «Microsoft разрабатывает обновление безопасности, которое отзовет устаревшие, незащищенные системные файлы VBS для смягчения этой уязвимости, но оно еще не доступно.» Временно Microsoft предложила шаги по смягчению последствий, такие как внедрение списка контроля доступа (ACL) или дискреционного списка контроля доступа (DACL) для ограничения доступа к ключу реестра PoqexecCmdline, который используется для атаки.
Однако эксперты по безопасности предупреждают, что эти меры неполные и могут быть легко обойдены решительным злоумышленником. Единственным всеобъемлющим решением будет установка официальных обновлений безопасности от Microsoft после их выпуска.
#### Широкий контекст
Этот инцидент подчеркивает опасности, связанные с уязвимостями нулевого дня в основных компонентах операционной системы, которые могут быть использованы для компрометации систем и повторного введения ранее исправленных уязвимостей. Он подчеркивает необходимость более проактивного исследования этих сложных поверхностей атаки.
Левиев отметил важность бдительности, заявив: «Дизайн систем безопасности должен учитывать возможность таких атак и предусматривать механизмы для их предотвращения.»
