Una recente scoperta, ha rivelato che il processo di aggiornamento di Windows può essere compromesso, permettendo a malintenzionati di effettuare il downgrade di componenti critici del sistema operativo, tra cui le dynamic link libraries (DLL) e il kernel NT.
Questa vulnerabilità sfrutta due falle (CVE-2024-38202 e CVE-2024-21302), consentendo di rimuovere gli aggiornamenti di sicurezza distribuiti da Microsoft su Windows 10, Windows 11 e Windows Server. In questo modo, vengono reintrodotte vecchie falle che potrebbero essere utilizzate per infiltrarsi nei sistemi. L’attacco è stato denominato “Windows Downdate”.
Il problema principale è che, una volta compromesso il processo e attuato il downgrade, Windows Update continua a segnalare che il sistema è completamente aggiornato, mentre gli strumenti di ripristino e scansione non rilevano alcun problema.
Oltre a questo, è stato scoperto che anche l’intero stack di virtualizzazione è vulnerabile. È possibile effettuare il downgrade di componenti come l’Isolated User Mode Process di Credential Guard, il Secure Kernel e l’hypervisor di Hyper-V, rendendo nuovamente esposte vecchie vulnerabilità di escalation dei privilegi.
Sono stati individuati inoltre diversi metodi per disabilitare la sicurezza basata sulla virtualizzazione di Windows (VBS), comprese le funzionalità come Credential Guard e l’integrità del codice protetta dall’hypervisor (HVCI), anche in presenza di blocchi UEFI. Questo rappresenta una prima assoluta per quanto riguarda l’aggiramento dei blocchi UEFI di VBS senza accesso fisico.
Questa vulnerabilità fa sì che un PC Windows apparentemente aggiornato possa tornare vulnerabile a migliaia di falle risolte in passato, rappresentando un rischio significativo.
Il problema è stato segnalato a Microsoft sei mesi prima della divulgazione pubblica, in conformità con un processo di divulgazione responsabile.
Microsoft ha dichiarato di non essere a conoscenza di tentativi di sfruttamento di questa vulnerabilità. L’azienda ha inoltre sottolineato l’importanza del lavoro svolto per identificare e segnalare queste problematiche in modo responsabile. Attualmente, sono in corso lo sviluppo e il test di aggiornamenti per mitigare i rischi, al fine di proteggere i clienti e ridurre al minimo le interruzioni operative.
In risposta, Microsoft sta lavorando a un aggiornamento che eliminerà i file di sistema VBS (Virtualization Based Security) obsoleti e privi di patch per ridurre l’efficacia di questo tipo di attacco. Tuttavia, la complessità e il numero di file coinvolti rendono necessaria una fase di test estesa prima del rilascio dell’aggiornamento.
Cosa ne penso
Dal mio punto di vista è sempre utile vedere oltre il problema, ossia fare in modo di avere piani ben dettagliati qualora accadano eventi drastici.
Ciò vuol dire essere sul pezzo nel dare continuità al business il prima possibile in base agli investimenti che tu come azienda dovresti aver fatto.
E ciò parte principalmente dall’essere seguiti da un buon IT Manager che ha come interesse principale quello di ridurre i rischi di fermo della tua azienda.
Ed appunto ogni situazione merita un’attenzione personalizzata, come spiego qui.
Ricordo che se sei un azienda o un professionista e sei stanco di dover pensare a tutto perché giustamente devi occuparti del tuo business, mettiti in contatto con me (pulsante WhatsApp in basso a destra) o inviando una mail a info@mauroaddesso.com e senza alcun impegno andiamo a valutare la situazione della tua infrastruttura informatica e se ci sono i presupposti per collaborare insieme e poterti seguire non che mettere in sicurezza i tuoi sistemi aziendali e capire come sfruttare a tuo vantaggio il cloud e i nuovi sistemi aziendali.
