Gli attacchi di downgrade sono una minaccia crescente per la sicurezza dei sistemi operativi, in particolare per Windows. Questi attacchi, noti anche come version-rollback attacks, consistono nel riportare un sistema operativo aggiornato a una versione precedente, esponendo così vulnerabilità precedentemente risolte. In questo articolo, esploreremo i rischi associati agli attacchi di downgrade su Windows, come sono stati sviluppati e come possono essere mitigati.
Storia degli Attacchi di Downgrade
Gli attacchi di downgrade non sono una novità. Ad esempio, il BlackLotus UEFI Bootkit, un malware sviluppato nel 2023, è stato in grado di downgrade il manager di avvio di Windows a una versione vulnerabile al CVE-2022-21894, bypassando così Secure Boot e disabilitando altre meccanismi di sicurezza del sistema operativo.
Come Funzionano gli Attacchi di Downgrade
Gli attacchi di downgrade su Windows utilizzano il processo di aggiornamento del sistema operativo per eseguire azioni maliziose. Ecco come funzionano:
- Identificazione del Flaw: I ricercatori hanno scoperto due vulnerabilità zero-day, CVE-2024-38202 e CVE-2024-21302, che permettono di manipolare il processo di aggiornamento di Windows.
- Controllo del Processo di Aggiornamento: Utilizzando queste vulnerabilità, gli attaccanti possono prendere il controllo del processo di aggiornamento, creando un elenco di azioni personalizzate per downgrade il sistema operativo.
- Bypass delle Verifiche di Integrità: Gli attaccanti possono bypassare le verifiche di integrità e l’enforcement del Trusted Installer, permettendo di installare versioni obsolete dei file del sistema operativo.
- Downgrade di Componenti Critici: Una volta che il processo di aggiornamento è stato manipolato, gli attaccanti possono downgrade componenti critici come DLL, driver e il kernel NT, rendendo il sistema operativo vulnerabile a vulnerabilità precedenti.
Rischi Associati
Gli attacchi di downgrade su Windows presentano rischi significativi per la sicurezza dei sistemi:
- Esposizione a Vulnerabilità Precedenti: Un sistema operativo completamente aggiornato può essere reso vulnerabile a migliaia di vulnerabilità precedenti, rendendo il termine “completamente aggiornato” privo di significato.
- Disabilitazione di Feature di Sicurezza: Gli attacchi di downgrade possono disabilitare feature di sicurezza come Credential Guard, Hyper-V e Hypervisor-Protected Code Integrity (HVCI), esponendo così i dati protetti da queste feature.
- Difficoltà di Detezione: I sistemi operativi possono riferire di essere completamente aggiornati, mentre in realtà sono vulnerabili. Inoltre, gli strumenti di recupero e di scansione non sono in grado di rilevare queste vulnerabilità.
Mitigazioni
Per mitigare gli attacchi di downgrade su Windows, è necessario adottare una serie di misure:
- Aggiornamenti di Sicurezza: Aspettare l’arrivo degli aggiornamenti di sicurezza da parte di Microsoft per rivolgere le vulnerabilità identificate.
- Access Control List (ACL) o Discretionary Access Control List (DACL): Implementare ACL o DACL per limitare l’accesso al registro PoqexecCmdline, che è essenziale per l’esecuzione dell’attacco.
- Revisione delle Feature di Sicurezza: Rivedere le feature di sicurezza del sistema operativo per assicurarsi che non siano state compromesse da vulnerabilità precedenti.
- Monitoraggio Continuo: Monitorare costantemente il sistema operativo per rilevare eventuali azioni maliziose e applicare aggiornamenti di sicurezza non appena disponibili.
Gli attacchi di downgrade su Windows rappresentano una minaccia significativa per la sicurezza dei sistemi operativi. È essenziale essere consapevoli dei rischi associati e adottare misure proattive per mitigarli. La revisione continua delle feature di sicurezza, l’implementazione di ACL o DACL e l’attesa degli aggiornamenti di sicurezza da parte di Microsoft sono fondamentali per proteggere i sistemi operativi da questi attacchi.
Fonte: https://cybersecuritynews.com/windows-downgrade-attack/
