Hackeri „zostarnú“ váš Windows a dostanú sa dnu

Cez špecializovaný nástroj dokážete oklamať aktualizačnú službu a zaviesť do systému Windows staršie súbory z aktualizácií.

Bežným spôsobom je k dispozícii odinštalovanie aktualizácií a je to poistka proti nepredvídanému správaniu systému alebo nestabilite. Bezpečnostný expert Alon Leviev zo SafeBreach ukázal, ako sa dá do systému prepašovať stará verzia knižníc a aktualizačných súborov tak, aby to zostalo bez povšimnutia systému. Tému ďalej rozvádza web Bleeping Computer.

Nástroj tvorí len predprípravu na útok, ktorý umožní hackerom napadnúť systém prostredníctvom starších súborov rôznych knižníc alebo iných súčastí v systéme. A to aj napriek tomu, že sa podľa služby Windows Update bude javiť systém ako aktualizovaný.

If you have not checked it out yet, Windows Downdate tool is live! You can use it to take over Windows Updates to downgrade and expose past vulnerabilities sourced in DLLs, drivers, the NT kernel, the Secure Kernel, the Hypervisor, IUM trustlets and more!https://t.co/59DRIvq6PZ
— Alon Leviev (@_0xDeku) August 25, 2024

Staré knižnice, staré zraniteľnosti

Mať aktualizovaný systém je základ ochrany voči neželaným prienikom. Nepríjemné na tejto chybe je, že operačný systém nerozpozná potrebu aktualizovať takto importované súbory. Hackeri to môžu využiť na známe zraniteľnosti, ktoré sa behom mesiacov podarilo vyriešiť.

Akonáhle však v systéme budú prepašované staré verzie systému so skorším dátumom vytvorenia, budú obsahovať známe chyby. Tie sú zdokumentované a v novších súboroch opravené. No a tým, že sa v systéme objavia staršie verzie súborov, ktoré mohli obsahovať v kóde isté chyby, budete mať systém síce aktualizovaný, ale nechránený.

Windows Downdate dokážete použiť aj vy

Program sa dá zadarmo stiahnuť na serveri GitHub, kde má k dispozícii zdrojový kód vytvorený v jazyku Python. Takisto obsahuje spustiteľný súbor vo Windows, ktorý umožní jednoduchšie vyskúšanie tohto nástroja. Funguje vo Windows 10, Windows 11 a Windows Server. Alon Leviev hovorí o tom, že sa dá takto downgradovať služba Hyper-V, jadro Windows, ovládač NTFS, ale aj iné ovládače v systéme na ich základnú verziu.

Ako príklady uvádza aj jednoduchosť použitia na odhalených chybách pod označením CVE-2021-27090, CVE-2022-34709, CVE-2023-21768. Svoje poznatky uviedol na konferencii Black Hat 2024, na ktorých poukázal, že systém nedokážu ochrániť ani EDR nástroje (Endpoint Detection and Response). Ide o bezpečnostný typ softvéru, ktorý je doplnkom k základnej funkcii antivírusu. Jeho úlohou je sledovať správanie aplikácií a vyhodnocovať ho.

Microsoft reaguje

Výrobca systému Windows bude na tento typ zraniteľnosti reagovať. Firma zatiaľ vydala zákazníkom odporúčania na zabezpečenie ich systémov v tomto dokumente. Zabrániť inštalácii starých verzií súborov do aktualizovaného systému, by mala niektorá z bezpečnostných záplat v budúcnosti.

Zdroj: Bleeping Computer

Prečítajte si aj: