Uma nova vulnerabilidade foi encontrada na estrutura do Home windows Replace que permite que invasores revertam sistemas para versões anteriores, potencialmente trazendo de volta problemas de segurança corrigidos. Alon Leviev, da SafeBreach Labs, identificou essa falha, e a Microsoft está no processo de implantar um patch para resolvê-la.
Exploração do mecanismo de exploração
Apresentando-se na conferência de segurança Black Hat, Leviev demonstrou como essa falha pode ser usada para fazer downgrade do Home windows ou de seus componentes. Denominado “Downdate”, esse exploit manipula o mecanismo de atualização, que depende das comunicações do PC do usuário e do servidor Microsoft envolvendo pastas de atualização e listas de ações.
Geralmente, o Home windows Replace mantém a integridade do sistema por meio de pastas de monitoramento do servidor. No entanto, Leviev descobriu que a chave da lista de ações “PoqexecCmdline” não está devidamente protegida, permitindo que o processo de atualização seja alterado e resultando em downgrades de componentes essenciais do sistema, incluindo drivers, bibliotecas de vínculo dinâmico e o kernel do NT.
Implicações da pesquisa
A apresentação de Leviev introduziu o “Home windows Downdate”. Esta ferramenta é projetada para fazer downgrade de componentes críticos do SO de forma invisível e persistente, expondo vulnerabilidades passadas como escalonamentos de privilégios. O estudo revelou que toda a pilha de virtualização – incluindo o Processo de Modo de Usuário Isolado do Credential Guard, o Safe Kernel e o hipervisor do Hyper-V – poderia ser rebaixada.
Leviev enfatizou que os recursos de design do sistema operacional, independentemente de sua idade, devem ser examinados como possíveis vetores de ataque. A superfície de ataque de downgrade em Virtualization-Based mostly Safety (VBS), identificada por Leviev, existe há quase uma década. Sua pesquisa pede um exame completo de ataques ao vivo, como o BlackLotus UEFI Bootkit, para evitar ameaças semelhantes.
Impacto da vulnerabilidade
A capacidade de fazer downgrade de componentes críticos revive vulnerabilidades corrigidas de versões anteriores. O ataque de prova de conceito de Leviev ilustrou a desabilitação do VBS e o direcionamento de código de kernel privilegiado. Embora o exploit não conceda acesso remoto inicial, ele representa um risco severo para sistemas já comprometidos, aproveitando o mecanismo confiável do Home windows Replace para o downgrade.
A Microsoft reconheceu o problema para a WIRED, trabalhando em mitigações revogando arquivos de sistema VBS vulneráveis. Esse processo é delicado, visando proteger os usuários sem causar problemas de integração ou outros problemas. Embora a Microsoft ainda não tenha visto ataques aproveitando essa exploração, eles estão comprometidos com investigação, desenvolvimento e testes extensivos para garantir proteção abrangente.
A pesquisa de Leviev visava um ataque de downgrade “perfeito”: um que permanecesse indetectável, invisível, persistente e irreversível. O sistema Home windows Replace envolve um cliente e um servidor se comunicando por COM, com o Trusted Installer supostamente protegendo arquivos do sistema, mas foi considerado deficiente nesse aspecto.
A pesquisa revelou que, ao controlar a lista de ações “pending.xml”, responsabilidades como criar, mover, excluir arquivos e modificar chaves de registro poderiam ser exploradas para executar downgrades. Ao manipular a lista, Leviev conseguiu ignorar as verificações de integridade e controlar completamente o processo do Home windows Replace.
