Un ricercatore di SafeBreach ha individuato una vulnerabilità di Windows 11 che può essere sfruttata per effettuare un attacco downgrade e installare rootkit su computer aggiornati. Ciò è possibile attraverso l’installazione di vecchi componenti del sistema operativo aggirando una protezione del kernel. Microsoft ha comunicato che offrirà una soluzione per limitare i rischi.
Driver non firmati su PC aggiornato
Il ricercatore è Alon Leviev, lo stesso che ha sviluppato il tool Windows Downdate che permetteva di ripristinare i file vulnerabili, ingannando Windows Update (che conferma erroneamente l’installazione di tutti gli aggiornamenti). Ora ha illustrato come è possibile aggirare la funzionalità Driver Signature Enforcement (DSE) del kernel, caricare driver non firmati e installare rootkit su Windows 11.
Il ricercatore ha studiato il funzionamento di Windows Update, scoprendo una vulnerabilità che consente di prendere il controllo della procedura di aggiornamento. Un malintenzionato con privilegi di amministratore può quindi aggirare la funzionalità DSE e sostituire il file ci.dll
(quello che attiva la protezione) con una vecchia versione che ignora le firme dei driver.
Quando viene verificata la disponibilità di aggiornamenti, Windows Update non trova nulla. In pratica, il sistema operativo crede che la vecchia DLL sia quella più recente. Prima di sostituire la nuova DLL con la vecchia è necessario disattivare la funzionalità Virtualization-based Security (VBS) che protegge le risorse essenziali di Windows 11 con un ambiente virtuale isolato.
Il ricercatore ha descritto i passi per la sua disattivazione tramite registro di sistema o con altre tecniche. Microsoft non ha ancora rilasciato una patch, in quanto l’esecuzione di codice nel kernel con privilegi di amministratore non è considerata una vulnerabilità, ma ha promesso lo sviluppo di una soluzione per mitigare i rischi.