Nowy cyberatak cofa Windowsa do starszej wersji. Twój komputer może być zagrożony

8 sierpnia 2024 2 minuty czytania

Wyobraź sobie taki scenariusz – dbasz o swojego Windowsa, regularnie go aktualizujesz, a tu nagle okazuje się, że jest on podatny na wszelkie możliwe ataki. Brzmi jak kiepski żart? Niestety, to jak najbardziej realne zagrożenie. Badacze cyberbezpieczeństwa wykryli nowy rodzaj ataku, który potrafi przywrócić w pełni zaktualizowany system do wcześniejszej, dziurawej wersji. Ten przerażający exploit został oznaczony jako „Windows Downdate”.

Laptop ASUS aktualizujący system Windows, ekran pokazuje komunikat "Working on updates 15% complete Don't turn off your computer". — Fot. Rembolle / Shutterstock

Luka w Windows Update umożliwia przejęcie kontroli

O swoim odkryciu opowiedział Alon Leviev podczas konferencji Black Hat USA 2024 i DEF CON 32 (2024). Jak się okazuje, Windows Update – narzędzie, które powinno dbać o to, żeby nasz system był maksymalnie „bieżący” – ma poważną lukę. Umożliwia ona przejęcie totalnej kontroli nad procesem aktualizacji i zamiast instalować najnowsze łatki, może cofnąć Windowsa do starszej edycji.

To nie koniec złych wieści. Leviev doszedł też do wniosku, że cyberprzestępcy mogą grzebać w krytycznych elementach systemu, takich jak biblioteki DLL, sterowniki czy samo jądro NT. W efekcie komputer twierdzi, że jest w pełni zaktualizowany i niczego więcej mu nie trzeba, a narzędzia diagnostyczne niczego nie zauważają.

Ekran aktualizacji systemu Windows z komunikatem „Jesteś na bieżąco”, ostatnia kontrola: dzisiaj, 12:20 PM. — Fot. PixieMe / Shutterstock

Kolejna niepokojąca sprawa to możliwość majstrowania przy stosie wirtualizacji. Przez to aplikacje, które wcześniej wydawały się bezpieczne, stają się podatne na luki związane z podnoszeniem uprawnień – te same, które rzekomo zostały już załatane. Dotyczy to m.in. Credential Guard, Secure Kernel i Hyper-V.

Wyłączenie wirtualizacyjnych zabezpieczeń bez fizycznego dostępu

Jakby tego było mało, hakerzy potrafią też wyłączyć wirtualizacyjne zabezpieczenia Windowsa (VBS), nawet jeśli są chronione przez blokadę UEFI. Leviev twierdzi, że to pierwszy taki numer z obejściem blokad UEFI VBS bez fizycznego dostępu do komputera.

Co zrobić, żeby zmniejszyć ryzyko takiego ataku? Leviev doradza wdrożenie mechanizmów bezpieczeństwa, które wyłapią i zablokują próby obniżenia wersji krytycznych składników systemu. Warto też analizować prawdziwe incydenty, żeby sprawdzić, czy inne komponenty albo obszary też mogą być zagrożone.

Znak Microsoft przed nowoczesnym budynkiem biurowym otoczonym zielenią. — Fot. JeanLuclchard, / Shutterstock

Windows Downdate to poważna sprawa, która burzy nasze wyobrażenia o bezpieczeństwie zaktualizowanych systemów. Musimy zachować czujność i śledzić wszelkie nowiny na temat tego exploita. Trzeba mieć nadzieję, że Microsoft weźmie się ostro do roboty i załata tę dziurę. Trzymajcie kciuki i pilnujcie swoich kompów!

Alternatywa dla Revoluta – 60 dni Platinum w ZEN za darmo (kod ACPZEN)

Gotowi na powrót do szkoły? Daj nam znać, z jakiego sprzętu i oprogramowania korzysta twoje dziecko w celach edukacyjnych! Dziękujemy!

Źródło: TechRadar, BleepingComputer Zdjęcie otwierające: TippaPatt / Shutterstock

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.