{"id":29182,"date":"2024-09-09T10:51:45","date_gmt":"2024-09-09T08:51:45","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29182"},"modified":"2024-09-09T10:51:45","modified_gmt":"2024-09-09T08:51:45","slug":"windows-downgrade-downdate-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/windows-downgrade-downdate-protection\/29182\/","title":{"rendered":"Come proteggersi dagli attacchi di downgrade di Windows"},"content":{"rendered":"

Tutte le applicazioni software, inclusi i sistemi operativi, contengono vulnerabilit\u00e0, il che rende gli aggiornamenti regolari per correggerle un punto fermo della sicurezza informatica. I ricercatori che hanno inventato l\u2019attacco Windows Downdate<\/a> hanno preso di mira proprio questo meccanismo di aggiornamento con l\u2019obiettivo di eseguire il rollback furtivo di un sistema Windows completamente aggiornato a una versione precedente contenente file e servizi vulnerabili. Questa operazione espone il sistema a noti exploit e compromissioni di alto livello che riguardano anche l\u2019hypervisor<\/a> e il kernel protetto. Peggio ancora, i normali aggiornamenti e i controlli di integrit\u00e0 del sistema non riscontreranno alcun problema.<\/p>\n

Meccanismo di attacco<\/h2>\n

I ricercatori hanno effettivamente trovato due difetti distinti con meccanismi operativi leggermente diversi. Una vulnerabilit\u00e0, assegnata all\u2019ID CVE-2024-21302<\/a> e denominata Downdate, sfrutta un difetto nel processo di installazione dell\u2019aggiornamento: i componenti dell\u2019aggiornamento scaricati sono controllati, protetti da modifiche e firmati digitalmente, ma in una delle fasi intermedie dell\u2019installazione (tra i riavvii), la procedura di aggiornamento crea e poi utilizza un file contenente un elenco di azioni pianificate (pending.xml). Se gli aggressori riuscissero a creare la propria versione di quel file e aggiungervi nel registro informazioni al riguardo, il Servizio di installazione dei moduli Windows (TrustedInstaller)<\/a> eseguir\u00e0 le istruzioni contenute nel file fasullo al momento del riavvio.<\/p>\n

Il contenuto di pending.xml viene effettivamente verificato, ma questo avviene durante le fasi precedenti<\/strong> dell\u2019installazione: TrustedInstaller non lo verificher\u00e0 una seconda volta. Naturalmente, \u00e8 impossibile scrivere liberamente nel file e installare file arbitrari in questo modo, poich\u00e9 tutti i file devono essere firmati da Microsoft, ma la sostituzione dei file di sistema con file meno recenti sviluppati da Microsoft \u00e8 abbastanza fattibile. Ci\u00f2 pu\u00f2 esporre il sistema a vecchie vulnerabilit\u00e0 con patch a lungo termine, comprese quelle critiche. Aggiungere al registro le chiavi necessarie relative al file pending.xml richiede privilegi di amministratore, dopodich\u00e9 dovr\u00e0 essere eseguito un riavvio del sistema. Queste sono comunque le sole limitazioni significative. Questo attacco non richiede privilegi elevati (quelli per cui Windows oscura lo schermo e richiede un\u2019autorizzazione aggiuntiva di un amministratore) e la maggior parte degli strumenti di protezione non segnaler\u00e0 le azioni eseguite durante l\u2019attacco come sospette.<\/p>\n

La seconda vulnerabilit\u00e0, CVE-2024-38202<\/a>, consente a un soggetto di manipolare la cartella Windows.old, nella quale il sistema di aggiornamento archivia l\u2019installazione precedente di Windows. Sebbene la modifica dei file in questa cartella richieda privilegi speciali, un utente malintenzionato con diritti regolari pu\u00f2 rinominare la cartella, creare un nuovo Windows.old e inserirvi versioni obsolete e vulnerabili dei file di sistema. Un ripristino del sistema eseguir\u00e0 il rollback di Windows alla versione di installazione vulnerabile. Alcuni privilegi sono richiesti per il ripristino del sistema, ma non sono privilegi di amministratore e talvolta vengono concessi agli utenti regolari.<\/p>\n

Aggiramento di VBS e furto di password<\/h2>\n

Dal 2015, l\u2019architettura di Windows \u00e8 stata ridisegnata per evitare che una compromissione del kernel di Windows conduca alla compromissione dell\u2019intero sistema. Ci\u00f2 comporta una serie di misure note collettivamente come protezione basata sulla virtualizzazione, o Virtualization-Based Security (VBS)<\/a>. Tra le altre cose, l\u2019hypervisor di sistema viene utilizzato per isolare i componenti del sistema operativo e creare un kernel sicuro per l\u2019esecuzione delle operazioni pi\u00f9 sensibili, l\u2019archiviazione delle password e cos\u00ec via.<\/p>\n

Windows pu\u00f2 essere configurato in modo da rendere impossibile impedire agli aggressori di disabilitare VBS, anche con i diritti di amministratore. L\u2019unico modo per disabilitare questa protezione \u00e8 riavviare il computer in una modalit\u00e0 speciale e immettere un comando da tastiera. Questa funzionalit\u00e0 \u00e8 denominata blocco UEFI (Unified Extensible Firmware Interface). L\u2019attacco Windows Downdate aggira anche questa restrizione sostituendo i file con versioni modificate, obsolete e vulnerabili. VBS non verifica che i file di sistema vengano effettivamente aggiornati, pertanto possono essere sostituiti con versioni precedenti e vulnerabili senza segni rilevabili o messaggi di errore. Tecnicamente, VBS non viene di fatto disabilitato, per\u00f2 non svolge pi\u00f9 la sua funzione di protezione.<\/p>\n

Questo attacco consente la sostituzione dei file del kernel protetto e dell\u2019hypervisor con versioni di due anni fa contenenti vulnerabilit\u00e0 il cui sfruttamento conduce all\u2019escalation dei privilegi. Di conseguenza, gli aggressori possono ottenere i massimi privilegi di sistema, l\u2019accesso completo all\u2019hypervisor e ai processi di protezione della memoria e la capacit\u00e0 di leggere facilmente credenziali, password con hash e anche hash NTLM<\/a> dalla memoria (utilizzabili per espandere l\u2019attacco alla rete).<\/p>\n

Proteggersi da Downdate<\/h2>\n

Microsoft \u00e8 stata informata delle vulnerabilit\u00e0 Downdate nel febbraio 2024, ma solo ad agosto sono stati rilasciati i dettagli insieme al lancio mensile del Patch Tuesday. La correzione dei bug si \u00e8 rivelata difficile e piena di effetti collaterali, incluso l\u2019arresto anomalo di alcuni sistemi Windows. Pertanto, invece di affrettarsi a pubblicare un\u2019altra patch, Microsoft per ora ha semplicemente emesso alcuni suggerimenti per mitigare i rischi. Tra questi:<\/p>\n