Gli attacchi di downgrade di Windows, noti come Windows Downdate, rappresentano una seria minaccia per la sicurezza dei sistemi operativi Windows. Questi attacchi mirano a rollare indietro un sistema Windows aggiornato a una versione precedente, esponendolo a vulnerabilità note e compromettendo profondamente la sicurezza del sistema. In questo articolo, esamineremo le tecniche di sfruttamento utilizzate dagli attaccanti e le contro-misure per proteggere i sistemi Windows dagli attacchi di downgrade.
Tecniche di sfruttamento
Gli attacchi di downgrade di Windows utilizzano due vulnerabilità separate, ciascuna con un meccanismo di operazione leggermente diverso. La prima vulnerabilità, identificata con il CVE-2024-21302, si basa su un difetto nel processo di installazione degli aggiornamenti. Durante l’installazione, il servizio Windows Modules Installer (TrustedInstaller) crea e utilizza un file contenente una lista di azioni pianificate (pending.xml). Se un attaccante è in grado di creare una versione personalizzata di questo file e aggiungere informazioni relative a esso al registro, TrustedInstaller eseguirà le istruzioni contenute nel file durante il riavvio.
Tuttavia, i contenuti di pending.xml vengono verificati durante le fasi di installazione precedenti, ma TrustedInstaller non verifica nuovamente il file durante l’installazione. Questo permette agli attaccanti di sostituire i file del sistema con versioni precedenti sviluppate da Microsoft, esponendo il sistema a vulnerabilità già risolte. Per eseguire questa attività, gli attaccanti devono avere privilegi di amministratore, dopo i quali devono avviare un riavvio del sistema. Tuttavia, queste sono le uniche limitazioni significative. Questo attacco non richiede privilegi elevati e la maggior parte delle soluzioni di sicurezza non segnalerà le azioni eseguite durante l’attacco come sospette.
La seconda vulnerabilità, identificata con il CVE-2024-38202, permette agli attaccanti di manipolare la cartella Windows.old, dove il sistema di aggiornamento archivia l’installazione precedente di Windows. Sebbene la modifica dei file in questa cartella richieda privilegi speciali, un attaccante con diritti di utente regolare può rinominare la cartella, creare una nuova Windows.old da zero e inserire versioni obsolete e vulnerabili dei file del sistema di Windows. Avviando una ripristino del sistema, Windows verrà rollato indietro alla versione vulnerabile dell’installazione.
Contro-misure
Microsoft è stata informata delle vulnerabilità Downdate nel febbraio 2024, ma non è stato fino ad agosto che le informazioni sono state rilasciate come parte del ciclo mensile di Patch Tuesday. Correggere i bug si è rivelato un compito difficile, afflitto da effetti collaterali, inclusi il blocco di alcuni sistemi Windows. Pertanto, invece di pubblicare un altro aggiornamento, Microsoft ha semplicemente fornito alcune linee guida per mitigare i rischi. Queste includono:
- Auditing: Audire gli utenti autorizzati a eseguire operazioni di ripristino e aggiornamento del sistema, ridurre il numero di tali utenti e revocare le autorizzazioni dove possibile.
- Controllo degli accessi: Implementare elenchi di controllo degli accessi (ACL/DACL) per limitare l’accesso e la modifica dei file di aggiornamento.
- Monitoraggio degli eventi: Configurare il monitoraggio degli eventi per le istanze in cui i privilegi elevati sono utilizzati per modificare o sostituire i file di aggiornamento. Questo potrebbe essere un indicatore di sfruttamento delle vulnerabilità.
- Monitoraggio dei file: Monitorare la modifica e la sostituzione dei file associati al subsystem VBS e ai backup dei file del sistema.
Il monitoraggio di questi eventi utilizzando SIEM e EDR è relativamente semplice. Tuttavia, si possono aspettare false positivi, quindi distinguere l’attività legittima degli amministratori da quella dei hacker ricade sulla squadra di sicurezza.
Rischi e soluzioni alternative
Per coloro che cercano una maggiore sicurezza, Microsoft offre l’aggiornamento KB5042562, che include correzioni per le vulnerabilità Downdate. Tuttavia, questo aggiornamento può causare problemi di compatibilità con alcuni sistemi, quindi è consigliabile eseguire test di compatibilità prima dell’installazione.
Gli attacchi di downgrade di Windows rappresentano una minaccia seria per la sicurezza dei sistemi operativi Windows. È essenziale che gli amministratori di sistema siano consapevoli delle tecniche di sfruttamento utilizzate dagli attaccanti e delle contro-misure disponibili per proteggere i sistemi. Implementando misure di sicurezza come l’auditing, il controllo degli accessi e il monitoraggio degli eventi, è possibile ridurre significativamente il rischio di attacchi di downgrade.
Suggerimenti e consigli
- Auditing: Esegui regolari audit degli utenti autorizzati a eseguire operazioni di ripristino e aggiornamento del sistema. Riduci il numero di tali utenti e revoca le autorizzazioni dove possibile.
- Controllo degli accessi: Implementa elenchi di controllo degli accessi (ACL/DACL) per limitare l’accesso e la modifica dei file di aggiornamento.
- Monitoraggio degli eventi: Configura il monitoraggio degli eventi per le istanze in cui i privilegi elevati sono utilizzati per modificare o sostituire i file di aggiornamento.
- Monitoraggio dei file: Monitora la modifica e la sostituzione dei file associati al subsystem VBS e ai backup dei file del sistema.
- Utilizza aggiornamenti sicuri: Assicurati di utilizzare aggiornamenti sicuri e verificati per proteggere il tuo sistema da attacchi di downgrade.
- Revoca privilegi: Revochi i privilegi di amministratore a coloro che non ne hanno bisogno e richiedi che gli amministratori legittimi eseguano azioni amministrative solo sotto il proprio account e utilizzino un account separato per altre attività lavorative.
Risorse aggiuntive
- Microsoft Security Blog: Per ulteriori informazioni sulle vulnerabilità Downdate e le contro-misure disponibili, consulta il blog di sicurezza di Microsoft.
- Kaspersky Security Blog: Per informazioni aggiornate sulla sicurezza dei sistemi Windows e suggerimenti per proteggerti dagli attacchi di downgrade, consulta il blog di sicurezza di Kaspersky.
Fonte: https://www.kaspersky.it/blog/windows-downgrade-downdate-protection/29182/
