Атаки «на понижение версии» отменяют исправления обновлённых систем Windows 10 и 11

Исследователь безопасности SafeBreach Алон Левиев на Black Hat 2024 сообщил, что две уязвимости нулевого дня могут использоваться в атаках «на понижение версии» и для отмены исправлений полностью обновлённых систем Windows 10, 11 и Server.

Это позволяет хакерам эксплуатировать старые уязвимости.Microsoft выпустила рекомендации по двум неисправленным уязвимостям нулевого дня (CVE-2024-38202 и CVE-2024-21302) в координации с Black Hat Talk, предоставив рекомендации по смягчению последствий до тех пор, пока не выйдет исправление.Левиев обнаружил, что процесс обновления Windows может быть скомпрометирован для понижения версии критических компонентов ОС, включая динамические библиотеки (DLL) и ядро ​​NT.

При проверке с помощью Центра обновления Windows система выглядит как обновлённая, а средства восстановления и сканирования не могут обнаружить никаких проблем.Используя уязвимости нулевого дня, хакер может понизить уровень защищённого ядра Credential Guard и процесса изолированного режима пользователя, а также гипервизора Hyper-V, чтобы применить прошлые уязвимости повышения привилегий.«Я обнаружил несколько способов отключить безопасность на основе виртуализации Windows (VBS), включая такие функции, как Credential Guard и целостность защищённого кода гипервизора (HVCI), даже при использовании блокировок UEFI.