Windows Update Downgrade Attack: Come Funziona e Come Proteggersi
Gli attacchi di downgrade di Windows Update, recentemente rivelati, permettono agli attaccanti di riintrodurre vulnerabilità in sistemi Windows aggiornati, rendendo il concetto di “aggiornamento completo” privo di significato. Questo tipo di attacco utilizza vulnerabilità zero-day per sostituire file del sistema con versioni obsolete, reintroducendo vulnerabilità che erano state precedentemente mitigate.
Descrizione dell’attacco
Gli attaccanti con privilegi di amministratore possono sfruttare il CVE-2024-38202 per elevare i privilegi e creare aggiornamenti maliziosi, mentre il CVE-2024-21302 consente di sostituire file del sistema con versioni obsolete. Questi attacchi sono indetettabili perché non possono essere bloccati dalle soluzioni di rilevamento e risposta agli eventi (EDR) e sono invisibili perché Windows Update riporta che il dispositivo è aggiornato a dispetto del downgrade.
Implicazioni
Le implicazioni di questo tipo di attacco sono significative non solo per Microsoft Windows, ma anche per altri fornitori di sistemi operativi che potrebbero essere suscettibili a attacchi di downgrade. La sicurezza virtuale basata su virtualizzazione (VBS) e le funzionalità correlate come Credential Guard e Hypervisor-Protected Code integrity (HVCI) possono essere disabilitate, esponendo i sistemi a migliaia di vulnerabilità passate.
Risoluzione
Microsoft ha emesso avvisi sulla vulnerabilità e ha fornito consigli per ridurre il rischio di sfruttamento fino alla pubblicazione di un aggiornamento di sicurezza. Tuttavia, non è ancora disponibile una soluzione definitiva per queste vulnerabilità.
Suggerimenti e Consigli
- Implementare le raccomandazioni di sicurezza: Seguire le raccomandazioni fornite nelle avvisi di sicurezza per ridurre il rischio di sfruttamento delle vulnerabilità.
- Utilizzare strumenti di gestione delle immagini: Utilizzare strumenti come Gestione e manutenzione immagini distribuzione (DISM) per riparare eventuali danni a Windows Update.
- Connessione a Windows Update: Assicurarsi di essere connesso a Windows Update per ottenere i file necessari per la riparazione.
- Utilizzare un’installazione funzionante come origine di ripristino: In caso di mancanza di connessione a Windows Update, utilizzare un’installazione funzionante come origine di ripristino.
- Monitorare gli eventi di sistema: Controllare il registro eventi di installazione per rilevare eventuali errori di danneggiamento.
Gli attacchi di downgrade di Windows Update rappresentano una minaccia significativa per la sicurezza dei sistemi Windows. È essenziale che gli utenti implementino le raccomandazioni di sicurezza e utilizzino strumenti di gestione delle immagini per riparare eventuali danni. La connessione a Windows Update e l’uso di un’installazione funzionante come origine di ripristino sono anche cruciali per ridurre il rischio di sfruttamento delle vulnerabilità.
