Jedną z najważniejszych rad, jeśli chodzi o bezpieczeństwo urządzeń elektronicznych, jest upewnienie się, że są one aktualne.
Badacz bezpieczeństwa odkrył nowy atak, który trwale powoduje obniżenie poziomu urządzeń z systemem Windows. Informacje o ataku można znaleźć na stronieBezpieczne naruszeniestrona internetowa.
Firma Microsoft udostępnia comiesięczne aktualizacje zabezpieczeń dla systemu Windows. Może także publikować aktualizacje zabezpieczeń wykraczające poza dopuszczalne normy; są one uwalniane w przypadku aktywnego wykorzystania nowych luk w zabezpieczeniach.
Dobrze wiedzieć: Obniżenie wersji oznacza odinstalowanie niektórych aktualizacji z urządzenia. Może to odnosić się do odinstalowywania nowszych aktualizacji funkcji, ale także do odinstalowywania nowszej wersji systemu Windows.
Chociaż czasami konieczna jest zmiana wersji komputera na niższą, na przykład gdy nowa wersja powoduje problemy, których nie można w danym momencie naprawić, proces ten może również zostać wykorzystany do usunięcia pewnych aktualizacji zabezpieczeń lub zabezpieczeń z systemu operacyjnego.
Badacz bezpieczeństwa Alon Leviev opracował narzędzie Windows Downdate, aby wykazać, że ataki na niższą wersję są możliwe nawet w przypadku w pełni poprawionych wersji systemu Windows.
Opisuje to narzędzie w następujący sposób: „narzędzie do przejęcia procesu Windows Update w celu tworzenia w pełni niewykrywalnych, niewidocznych, trwałych i nieodwracalnych zmian w krytycznych komponentach systemu operacyjnego — co pozwoliło mi podnieść uprawnienia i ominąć funkcje bezpieczeństwa”.
Za pomocą tego narzędzia Leviev był w stanie zamienić w pełni załatane i zabezpieczone urządzenia z systemem Windows w przestarzałe urządzenia z systemem Windows, które były „podatne na tysiące wcześniejszych luk”.
Leviev zaprezentował projekt badawczy na Black Hat USA 2024 i Def Con 32. Podczas demonstracji udało mu się pomyślnie obniżyć wersję w pełni załatanego systemu Windows i przygotować systemy w specjalny sposób, aby usługa Windows Update nie znajdowała nowych aktualizacji.
Co gorsza, atak na obniżenie wersji jest zarówno niewykrywalny przez rozwiązania do wykrywania i reagowania na punktach końcowych, jak i niewidoczny w odniesieniu do komponentów systemu operacyjnego. Innymi słowy, system operacyjny wydaje się aktualny, choć w rzeczywistości taki nie jest.
Obniżenie poziomu jest również trwałe i nieodwracalne. To drugie oznacza, że narzędzia skanują i naprawiają, aby nie wykryć problemów lub mogą naprawić obniżenie wersji.
Szczegóły techniczne można znaleźć w poście na blogu w witrynie SafeBreach.
Odpowiedź Microsoftu
Firma Microsoft została poinformowana o luce z wyprzedzeniem. Śledzi problemy tutaj:
- CVE-2024-21302— Luka w zabezpieczeniach trybu bezpiecznego jądra systemu Windows umożliwiająca podniesienie uprawnień
- CVE-2024-38202— Luka w zabezpieczeniach stosu Windows Update związana z podniesieniem uprawnień
Maksymalna istotność obu problemów została ustawiona przez firmę Microsoft jako ważna.
Firma Microsoft dodała już wykrywanie do usługi Microsoft Defender for Endpoint. Ma to na celu ostrzeganie klientów o próbach exploitów.
Przeczytaj także:Odniesienia do „homeOS” odkryte w tvOS 17.4 beta
Oprócz tego firma zaleca kilka działań. Chociaż nie „łagodzą podatności”, „zmniejszają ryzyko wykorzystania”.
W paru słowach:
- Skonfiguruj ustawienia „Audyt dostępu do obiektu”, aby monitorować próby dostępu do plików, takie jak tworzenie uchwytów, operacje odczytu/zapisu lub modyfikacje deskryptorów zabezpieczeń.
- Wrażliwe uprawnienia KAudit służące do identyfikowania dostępu, modyfikacji lub wymiany plików powiązanych z VBS mogą pomóc w wykryciu prób wykorzystania tej luki.
- Chroń swoją dzierżawę platformy Azure, sprawdzając administratorów i użytkowników oflagowanych pod kątem ryzykownych logowań i zmieniając ich poświadczenia.
- Włączenie uwierzytelniania wieloskładnikowego może również pomóc rozwiać obawy dotyczące zhakowanych kont lub narażenia.
Końcowe słowa
Atak wymaga uprawnień administracyjnych. Dobrym środkiem ostrożności jest używanie zwykłego konta użytkownika do codziennych czynności na komputerach z systemem Windows. Firma Microsoft opublikuje w przyszłości poprawkę rozwiązującą ten problem.
Jakie jest Twoje zdanie na ten temat? Zachęcamy do pozostawienia komentarza poniżej.