Avete avuto modo di leggere in diverse occasioni sulle nostre pagine notizie sul tema della sicurezza informatica, si tratta di un argomento che riveste una notevole importanza considerando che ad oggi praticamente qualsiasi servizio è collegato ad un computer; nelle ultime settimane per esempio abbiamo visto come diverse macchine Windows abbiano avuto enormi problemi a causa del rilascio di un aggiornamento difettoso da parte della società Crowdstrike.
Casistiche di questo tipo però non sono le uniche minacce a cui i nostri PC devono far fronte, tra virus di vario genere, phishing e truffe varie ce n’è letteralmente per tutti i gusti; per questo motivo è sempre caldamente consigliabile mantenere aggiornato il proprio sistema operativo, Microsoft infatti rilascia ciclicamente tutta una serie di correzioni in materia di sicurezza per tutelare noi e i nostri computer.
Ma se non fosse abbastanza? Secondo il ricercatore di sicurezza Alon Leviev di SafeBreach, anche un PC aggiornato può essere vulnerabile, scopriamo perché.
Un nuovo tipo di attacco è in grado di rimuovere le patch di sicurezza di Windows
Molti di noi si sentono al sicuro dopo aver installato gli ultimi aggiornamenti di Windows, siamo portati a pensare (in parte giustamente) che quanto implementato dall’ultimo update ci metta al sicuro dalle varie minacce che circolano sul web.
Tralasciando il fatto che le patch di sicurezza vanno a risolvere problemi già noti, e come vengano individuate spesso e volentieri falle zero day che potrebbero comunque essere sfruttate, sembra che ci sia una nuova tipologia di attacco informatico in grado di vanificare tutti gli aggiornamenti di sicurezza del vostro PC Windows.
Il ricercatore menzionato in apertura ha infatti scoperto che è possibile effettuare il downgrade di componenti critici del sistema operativo, tra cui le dynamic link libraries (DLL) e il kernel NT, compromettendo di fatto il processo di aggiornamento del sistema operativo di Microsoft.
L’attacco è stato ribattezzato “Windows Downdate” e ha permesso, tramite lo sfruttamento di due falle zero day (CVE-2024-38202 e CVE-2024-21302), la rimozione degli aggiornamenti di sicurezza distribuiti da Microsoft su sistemi Windows 10, Windows 11 e Windows Server, reintroducendo al contempo tutta una serie di vecchie falle di sicurezza.
Se tutto ciò non fosse già abbastanza grave, in seguito all’attacco in questione Windows Update continua a segnalare che il sistema è completamente aggiornato, e gli strumenti di ripristino e di scansione non rilevano alcun problema. Il ricercatore è inoltre riuscito a identificare diversi modi per disabilitare la sicurezza basata sulla virtualizzazione di Windows (VBS), comprese le sue funzioni come Credential Guard e Hypervisor-Protected Code integrity (HVCI), anche quando vengono applicati blocchi UEFI.
Ho scoperto una falla che mi ha permesso di assumere il pieno controllo del processo. Di conseguenza, sono riuscito a creare Windows Downdate, uno strumento che implementa il downgrade degli aggiornamenti e bypassa tutte le fasi di verifica, compresa la verifica dell’integrità e l’applicazione del Trusted Installer.
Poi ho puntato più in alto e ho scoperto che anche l’intero stack di virtualizzazione era a rischio. Ho fatto il downgrade di Isolated User Mode Process di Credential Guard, il Secure Kernel e l’hypervisor di Hyper-V per esporre le precedenti vulnerabilità di escalation dei privilegi.
Per quanto ne so, questa è la prima volta che i blocchi UEFI di VBS sono stati aggirati senza accesso fisico.
Leviev ha scoperto la falla in questione sei mesi fa e ha provveduto a segnalare la vulnerabilità a Microsoft affinché trovasse una soluzione, l’azienda ha fatto sapere tramite una dichiarazione di essere attivamente impegnata nella risoluzione della problematica per tutte le versioni di Windows:
Apprezziamo il lavoro di SafeBreach nell’identificare e segnalare responsabilmente questa vulnerabilità attraverso una divulgazione coordinata delle vulnerabilità. Stiamo sviluppando attivamente delle mitigazioni per proteggerci da questi rischi, seguendo un ampio processo che prevede un’indagine approfondita, lo sviluppo di aggiornamenti per tutte le versioni interessate e test di compatibilità, per garantire la massima protezione dei clienti e ridurre al minimo le interruzioni operative.
I nostri contenuti da non perdere:
- 🔝 Importante: Come trasferire denaro da Postepay a Libretto con l'app
- 💻 Troppi portatili al Black Friday? Andate sul sicuro con queste offerte MSI
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo