Windows
Todos os aplicativos de software, incluindo sistemas operacionais, contêm vulnerabilidades, portanto, as atualizações regulares para corrigi-los são a base da segurança cibernética. Os pesquisadores que criaram o ataque Windows Downdate visavam esse mecanismo de atualização, e a reversão furtiva de um sistema Windows totalmente atualizado para uma versão mais antiga que contém arquivos e serviços vulneráveis. Isso deixa o sistema exposto a explorações conhecidas e comprometimento de nível profundo, incluindo o hipervisor e o kernel seguro. Ainda pior, a atualização padrão e as verificações de integridade do sistema indicarão que tudo está atualizado e funcionando bem.
Mecanismo de ataque
Os pesquisadores realmente encontraram duas falhas separadas com mecanismos operacionais um pouco diferentes. Uma vulnerabilidade, atribuída com o ID CVE-2024-21302 e apelidada de Downdate, é baseada em uma falha no processo de instalação da atualização: os componentes de atualização baixados são controlados, protegidos contra modificações e assinados digitalmente, mas durante um dos estágios intermediários da instalação (entre as reinicializações), o procedimento de atualização cria e utiliza um arquivo contendo uma lista de ações planejadas (pending.xml). Se os invasores puderem criar sua própria versão desse arquivo e adicionar informações sobre ele ao registro, o serviço Instalador de Módulos do Windows (TrustedInstaller) executará as instruções nele após a reinicialização.
Na verdade, o conteúdo de pending.xml é verificado, mas isso é feito durante os estágios de instalação anteriores e o TrustedInstaller não o verifica novamente. Obviamente, é impossível gravar o que você quiser no arquivo e instalar arquivos arbitrários dessa forma, já que eles devem ser assinados pela Microsoft, mas substituir arquivos de sistema por arquivos mais antigos desenvolvidos pela Microsoft é bastante viável. Isso pode expor novamente o sistema a vulnerabilidades corrigidas há muito tempo, incluindo as que são críticas. A adição das chaves necessárias relacionadas ao arquivo pending.xml ao registro requer privilégios de administrador, após os quais uma reinicialização do sistema deve ser iniciada. No entanto, estas são as únicas limitações significativas. Esse ataque não exige privilégios elevados (para os quais o Windows escurece a tela e solicita permissão adicional de um administrador), e a maioria das ferramentas de segurança não identifica como suspeitas as ações realizadas durante o ataque.
A segunda vulnerabilidade, CVE-2024-38202, possibilita que um agente manipule a pasta Windows.old, na qual o sistema de atualização armazena a instalação anterior do Windows. Embora modificar arquivos nesta pasta exija privilégios especiais, um invasor com direitos de usuário regulares pode renomeá-la, criar um novo arquivo Windows.old e colocar nela versões desatualizadas e vulneráveis dos arquivos de sistema do Windows. Iniciar uma restauração do sistema reverte o Windows para a instalação vulnerável. Determinados privilégios são necessários para a restauração do sistema, mas estes não são privilégios de administrador e às vezes são concedidos a usuários comuns.
Contorno de VBS e roubo de senha
Desde 2015, a arquitetura do Windows foi redesenhada para evitar que o kernel do Windows seja comprometido e leve ao comprometimento de todo o sistema. Isso envolve uma série de medidas conhecidas coletivamente como segurança baseada em virtualização (VBS). Entre outras coisas, o hipervisor do sistema é usado para isolar componentes do sistema operacional e criar um kernel seguro para executar as operações mais confidenciais, armazenar senhas e assim por diante.
Para impedir que invasores desativem o VBS, o Windows pode ser configurado para tornar isso impossível, mesmo com direitos de administrador. A única maneira de desativar essa proteção é reinicializar o computador em um modo especial e inserir um comando de teclado. Esse recurso é chamado de bloqueio de Interface Unificada de Firmware Extensível (Unified Extensible Firmware Interface, UEFI). O ataque Windows Downdate também ignora essa restrição, substituindo arquivos por versões modificadas, desatualizadas e vulneráveis. O VBS não verifica se os arquivos do sistema estão atualizados, então, eles podem ser substituídos por versões mais antigas e vulneráveis, sem sinais detectáveis ou mensagens de erro. Ou seja, o VBS não está tecnicamente desativado, mas o recurso não executa mais sua função de segurança.
Este ataque possibilita a substituição de arquivos do kernel seguro e do hipervisor por versões de dois anos que contém diversas vulnerabilidades cuja exploração leva à escalada de privilégios. Como resultado, os invasores podem obter privilégios máximos do sistema, acesso total ao hipervisor e aos processos de proteção de memória, além da capacidade de ler facilmente credenciais, senhas com hash e também hashes NTLM da memória (que podem ser usados para expandir o ataque de rede).
Proteção contra o Downdate
A Microsoft foi informada sobre as vulnerabilidades do Downdate em fevereiro de 2024, mas somente em agosto os detalhes foram divulgados como parte do lançamento mensal do pacote de atualizações de software Patch Tuesday. Corrigir os bugs provou ser uma tarefa difícil e repleta de efeitos colaterais, incluindo a falha de alguns sistemas Windows. Portanto, em vez de se apressar para publicar outro patch, a Microsoft, por enquanto, simplesmente forneceu algumas dicas para reduzir os riscos. Elas incluem o seguinte:
- Auditar usuários autorizados a executar operações de restauração e atualização do sistema, minimizando o número desses usuários e revogando permissões sempre que possível.
- Implementar listas de controle de acesso (ACL/DACL) para restringir o acesso e modificar os arquivos de atualização.
- Configurar o monitoramento de eventos para instâncias em que privilégios elevados são usados para modificar ou substituir arquivos de atualização. Isso pode ser um indicador de exploração de vulnerabilidade.
- Da mesma forma, monitorar a modificação e substituição de arquivos associados ao subsistema VBS e aos backups de arquivos do sistema.
Monitorar esses eventos usando SIEM e EDR é relativamente simples. No entanto, falsos positivos podem ser esperados, portanto, a equipe de segurança é responsável por distinguir a atividade legítima do administrador de sistemas daquela dos hackers.
Todas as situações acima se aplicam não apenas a máquinas Windows físicas, mas também virtuais, em ambientes de nuvem. Para máquinas virtuais no Azure, também recomendamos rastrear tentativas incomuns de efetuar login com credenciais de administrador. Ative a MFA e altere as credenciais caso tal tentativa seja detectada.
Outra dica mais drástica: revogue os privilégios de administrador para funcionários que não precisam deles e exija que os administradores genuínos (i) executem apenas ações administrativas em suas respectivas contas e (ii) usem uma conta separada para outros trabalhos.
Correções arriscadas
Para quem procura mais segurança, a Microsoft oferece a atualização KB5042562, que reduz a gravidade da vulnerabilidade CVE-2024-21302. Com isso instalado, as versões desatualizadas dos arquivos do sistema VBS são adicionadas à lista revogada e não podem mais ser executadas em um computador atualizado. Esta política (SkuSiPolicy.p7b) é aplicada no nível UEFI, portanto, ao usá-la, você precisa atualizar não apenas o sistema operacional, mas também fazer backup da mídia de inicialização removível. Também é importante estar ciente de que a reversão para instalações mais antigas do Windows não será mais possível. Além disso, a atualização ativa forçosamente o recurso User Mode Code Integrity (UMCI), que pode causar problemas de compatibilidade e desempenho.
Em geral, os administradores são aconselhados a avaliar cuidadosamente os riscos e estudar detalhadamente o procedimento e seus potenciais efeitos colaterais. No futuro, a Microsoft promete lançar patches e medidas de segurança adicionais para todas as versões relevantes do Windows, até o Windows 10, versão 1507 e Windows Server 2016.
Dicas