O ataque conhecido como Windows Downdate pode reverter as atualizações do seu sistema operacional, reintroduzindo vulnerabilidades e possibilitando que invasores assumam o controle total do seu sistema. Como você pode reduzir o risco?
Todos os aplicativos de software, incluindo sistemas operacionais, possuem vulnerabilidades, e atualizações regulares são essenciais para corrigir essas falhas e garantir a segurança cibernética. O ataque Windows Downdate explora exatamente esse mecanismo de atualização, buscando reverter discretamente um sistema Windows totalmente atualizado para uma versão anterior que contém arquivos e serviços vulneráveis. Isso expõe o sistema a explorações conhecidas e a um comprometimento profundo, incluindo o hipervisor e o kernel seguro. Para piorar, as atualizações padrão e as verificações de integridade do sistema podem indicar que tudo está em ordem, mesmo quando não está.
Mecanismo de ataque
Os pesquisadores identificaram duas vulnerabilidades distintas com mecanismos operacionais ligeiramente diferentes. A primeira, identificada como CVE-2024-21302 e chamada de Downdate, está relacionada a uma falha no processo de instalação de atualizações. Embora os componentes de atualização baixados sejam verificados, protegidos contra modificação e assinados digitalmente, durante um estágio intermediário da instalação (entre reinicializações), o processo cria e utiliza um arquivo chamado pending.xml, que lista as ações planejadas. Se invasores conseguirem criar uma versão manipulada desse arquivo e adicionar suas informações ao Registro, o serviço Windows Modules Installer (TrustedInstaller) executará essas instruções na próxima reinicialização.
Embora o conteúdo do pending.xml seja verificado nas etapas iniciais da instalação, o TrustedInstaller não realiza uma nova verificação. Embora não seja possível instalar arquivos arbitrários, já que todos devem ser assinados pela Microsoft, substituir arquivos do sistema por versões mais antigas desenvolvidas pela Microsoft é viável. Isso pode reexpor o sistema a vulnerabilidades que já foram corrigidas. Adicionar as chaves relacionadas ao pending.xml ao registro requer privilégios de administrador, mas, além disso, as limitações são mínimas. O ataque não necessita de privilégios elevados (para os quais o Windows solicita permissão adicional a um administrador), e a maioria das ferramentas de segurança não sinaliza as ações realizadas durante o ataque como suspeitas.
A segunda vulnerabilidade, CVE-2024-38202, permite que um invasor manipule a pasta Windows.old, onde o sistema de atualização armazena a versão anterior do Windows. Embora a modificação dos arquivos nessa pasta exija privilégios especiais, um invasor com direitos de usuário comuns pode renomear a pasta, criar uma nova pasta Windows.old e colocar versões desatualizadas e vulneráveis dos arquivos de sistema nela. Restaurar o sistema reverte o Windows para a versão vulnerável. Certos privilégios são necessários para a restauração do sistema, mas esses privilégios não precisam ser de administrador e, às vezes, são concedidos a usuários comuns.
Desvio de VBS e roubo de senha
Desde 2015, a arquitetura do Windows foi redesenhada para prevenir que um comprometimento do kernel do sistema comprometa todo o sistema operacional. Essa abordagem envolve o uso de segurança baseada em virtualização (VBS), que inclui medidas como o uso de um hipervisor para isolar componentes do sistema e criar um kernel seguro para operações sensíveis, como o armazenamento de senhas.
Para proteger o VBS de desativações indesejadas, o Windows pode ser configurado para impedir sua desativação, mesmo com privilégios de administrador. A única forma de desativar essa proteção é reiniciar o computador em um modo especial e inserir um comando específico, conhecido como bloqueio UEFI (Unified Extensible Firmware Interface). No entanto, o ataque de desatualização do Windows contorna essa proteção substituindo arquivos por versões antigas e vulneráveis. Como o VBS não verifica a atualização dos arquivos do sistema, esses arquivos podem ser trocados por versões desatualizadas sem gerar sinais detectáveis ou mensagens de erro. Assim, embora o VBS não esteja tecnicamente desativado, ele deixa de cumprir sua função de segurança.
Esse tipo de ataque permite que arquivos de kernel seguro e hipervisor sejam substituídos por versões antigas com várias vulnerabilidades, possibilitando a exploração para escalonamento de privilégios. Isso pode resultar na obtenção de privilégios máximos do sistema, acesso total aos processos protegidos pelo hipervisor e à memória, e na capacidade de ler credenciais e hashes NTLM da memória, facilitando a expansão do ataque à rede.
Proteção contra Downdate
A Microsoft foi alertada sobre as vulnerabilidades Downdate em fevereiro de 2024, mas só divulgou detalhes em agosto, como parte de seu lançamento mensal do Patch Tuesday. Corrigir esses problemas tem se revelado complexo e gerou efeitos colaterais, incluindo o travamento de alguns sistemas Windows. Em vez de apressar a publicação de um novo patch, a Microsoft optou por fornecer orientações temporárias para mitigar os riscos, que incluem:
– **Auditar Usuários:** Verifique e limite o número de usuários autorizados a executar operações de restauração e atualização do sistema, revogando permissões quando possível.
– **Listas de Controle de Acesso (ACL/DACL):** Implemente listas de controle de acesso para restringir a modificação e o acesso a arquivos de atualização.
– **Monitoramento de Eventos:** Configure o monitoramento para detectar o uso de privilégios elevados na modificação ou substituição de arquivos de atualização, o que pode indicar exploração de vulnerabilidades.
– **VBS e Backups:** Monitore a modificação e substituição de arquivos relacionados ao subsistema VBS e backups de arquivos do sistema.
O monitoramento desses eventos usando ferramentas SIEM e EDR é relativamente simples, mas pode gerar falsos positivos, exigindo que a equipe de segurança diferencie entre atividades legítimas e ações de hackers.
Essas recomendações se aplicam não apenas a máquinas Windows físicas, mas também a máquinas virtuais em ambientes de nuvem. Para máquinas virtuais no Azure, é aconselhável acompanhar tentativas incomuns de login com credenciais de administrador, habilitar a MFA e alterar as credenciais se tais tentativas forem detectadas.
Uma medida mais drástica seria revogar os privilégios de administrador de funcionários que não necessitam deles e exigir que administradores realizem ações administrativas apenas em suas contas administrativas, usando contas separadas para outras tarefas.
Correções arriscadas
Para aqueles que buscam uma segurança aprimorada, a Microsoft disponibiliza a atualização KB5042562, que reduz a gravidade do CVE-2024-21302. Com essa atualização, versões desatualizadas dos arquivos de sistema VBS são adicionadas à lista revogada, tornando-as incapazes de serem executadas em sistemas atualizados. Esta política (SkuSiPolicy.p7b) é aplicada no nível UEFI, o que significa que além de atualizar o sistema operacional, é necessário atualizar também a mídia de inicialização removível de backup. Vale ressaltar que reverter para versões anteriores do Windows não será mais possível após a aplicação dessa atualização. Além disso, a atualização ativa forçadamente o recurso User Mode Code Integrity (UMCI), o que pode causar problemas de compatibilidade e desempenho.
De maneira geral, os administradores devem avaliar cuidadosamente os riscos e examinar detalhadamente o procedimento e seus possíveis efeitos colaterais. No futuro, a Microsoft pretende lançar patches e medidas de segurança adicionais para todas as versões relevantes do Windows, incluindo Windows 10, versão 1507 e Windows Server 2016.
