All’inizio del mese, il ricercatore Alon Leviev di SafeBreach ha descritto due vulnerabilità zero-day presenti in Windows 10 e 11 che possono essere sfruttate per installare vecchie versioni di alcuni componenti del sistema operativo. Le dimostrazioni sono state effettuate il tool Windows Downdate, ora disponibile su GitHub a scopo di ricerca. Microsoft ha rilasciato la patch solo per una vulnerabilità.
Windows Downdate per i downgrade attack
Le vulnerabilità CVE-2024-21302 e CVE-2024-38202 consentono di ottenere privilegi elevati e di ripristinare versioni precedenti dei file di Windows. Le ignare vittime non si accorgeranno di nulla perché Windows Update indicherà che tutti gli aggiornamenti sono stati installati.
Il ricercatore di SafeBreach ha dimostrato il funzionamento di un downgrade attack, usando Windows Downdate, un tool scritto in Python che ripristina vecchi componenti vulnerabili, tra cui driver, kernel e hypervisor. Oltre al codice sorgente, su GitHub sono disponibili alcuni esempi d’uso, tra cui la “rimozione” delle patch per le vulnerabilità CVE-2021-27090, CVE-2022-34709 e CVE-2023-21768. In pratica vengono installati i file precedenti a quelli aggiornati dalle patch.
Dopo aver ricevuto la segnalazione da Alon Leviev, Microsoft aveva pubblicato due bollettini di sicurezza con le azioni suggerite per ridurre i rischi di exploit. Il 13 agosto ha rilasciato la patch per la vulnerabilità CVE-2024-21302. Gli utenti devono quindi installarla al più presto.
Non è ancora disponibile la patch per la vulnerabilità CVE-2024-38202. Nell’attesa è consigliato eseguire le azioni di mitigazione elencate nel bollettino di sicurezza.
Aggiornamento (9/10/2024): Microsoft ha rilasciato anche la patch per la vulnerabilità CVE-2024-38202.
Ti potrebbe interessare
29 ago 2024