SafeBreach güvenlik araştırmacısı Alon Leviev, kendi raporunu yayınladı Windows Güncellemesi Güncel Windows 10, Windows 11 ve Windows Server sistemlerinde eski güvenlik açıklarını yeniden ortaya çıkaran geri yükleme saldırıları için kullanılabilen bir araçtır.
Bu tür saldırılarda tehdit aktörleri, güncel hedef cihazların eski yazılım sürümlerine dönmesini zorluyor ve böylece sistemin tehlikeye atılması için kullanılabilecek güvenlik açıklarını yeniden ortaya çıkarıyor.
Windows Downdate, Windows 10, Windows 11 ve Windows Server sistem bileşenlerinin sürümünü düşürmeye yardımcı olabilen açık kaynaklı Python tabanlı bir program ve önceden derlenmiş bir Windows çalıştırılabilir dosyası olarak mevcuttur.
Leviev ayrıca Hyper-V hypervisor’ın (iki yıllık bir sürüme), Windows Kernel’in, NTFS sürücüsünün ve Filter Manager sürücüsünün (temel sürümlerine) ve diğer Windows bileşenlerinin ve daha önce uygulanmış güvenlik yamalarının geri yüklenmesine olanak tanıyan birden fazla kullanım örneğini de paylaştı.
SafeBreach güvenlik araştırmacısı Alon Leviev, “Bunu, Windows Güncelleştirmelerini ele geçirip DLL’lerde, sürücülerde, NT çekirdeğinde, Güvenli Çekirdekte, Hypervisor’da, IUM güven öğelerinde ve daha fazlasında bulunan geçmiş güvenlik açıklarını ortaya çıkarmak ve eski sürüme döndürmek için kullanabilirsiniz” şeklinde açıklama yaptı.
“Özel düşürmelerin dışında, Windows Downdate, CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 ve PPLFault için yamaları geri alma konusunda kullanımı kolay kullanım örneklerinin yanı sıra, hipervizörü, çekirdeği düşürme ve VBS’nin UEFI kilitlerini atlama konusunda da örnekler sağlar.”
Leviev’in Black Hat 2024’te CVE-2024-21302 ve CVE-2024-38202 güvenlik açıklarını istismar eden Windows Downdate düşürme saldırısını açıkladığında söylediği gibi, bu aracı kullanmak tespit edilemez çünkü uç nokta algılama ve yanıt (EDR) çözümleri tarafından engellenemez ve Windows Update hedeflenen sistemin güncel olduğunu bildirmeye devam eder (sürüm düşürülmüş olmasına rağmen).
Leviev, “Windows sanallaştırma tabanlı güvenliğini (VBS), Credential Guard ve Hypervisor-Protected Code integrity (HVCI) gibi özelliklerini, UEFI kilitleriyle uygulandığında bile devre dışı bırakmanın birden fazla yolunu keşfettim. Bildiğim kadarıyla, bu, VBS’nin UEFI kilitlerinin fiziksel erişim olmadan atlatıldığı ilk sefer,” dedi.
“Sonuç olarak, tamamen yamalı bir Windows makinesini binlerce geçmiş güvenlik açığına karşı savunmasız hale getirebildim; düzeltilen güvenlik açıklarını sıfır günlere dönüştürdüm ve dünyadaki herhangi bir Windows makinesinde “tam yamalı” terimini anlamsız hale getirdim.”
Microsoft, 7 Ağustos’ta CVE-2024-21302 Windows Güvenli Çekirdek Modu ayrıcalık yükseltme açığını gidermek için bir güvenlik güncelleştirmesi (KB5041773) yayınlamış olsa da, Windows Update Yığını ayrıcalık yükseltme güvenlik açığı olan CVE-2024-38202 için henüz bir yama sağlamadı.
Redmond, bir güvenlik güncelleştirmesi yayınlanana kadar müşterilerine, Windows Downdate düşürme saldırılarına karşı korunmalarına yardımcı olmak için bu ayın başlarında yayınlanan güvenlik duyurusunda paylaşılan önerileri uygulamalarını öneriyor.
Bu soruna yönelik hafifletme önlemleri arasında, dosya erişim girişimlerini izlemek için “Nesne Erişimini Denetle” ayarlarını yapılandırmak, güncelleme ve geri yükleme işlemlerini kısıtlamak, dosya erişimini sınırlamak için Erişim Kontrol Listeleri kullanmak ve bu güvenlik açığından yararlanma girişimlerini belirlemek için ayrıcalıkları denetlemek yer alır.