Et af de vigtigste råd, når det kommer til sikkerheden af elektroniske enheder, er at sørge for, at de er opdaterede.
En sikkerhedsforsker opdagede et nyt angreb, der nedgraderer Windows-enheder permanent. Oplysninger om angrebet er tilgængelige påSafeBreachhjemmeside.
Microsoft udgiver månedlige sikkerhedsopdateringer til Windows. Det kan også frigive sikkerhedsopdateringer uden for grænserne; disse frigives, når nye sårbarheder aktivt udnyttes.
Godt at vide: Nedgradering refererer til at afinstallere visse opdateringer fra en enhed. Dette kan referere til afinstallation af nyere funktionsopdateringer, men også til afinstallation af en nyere version af Windows.
Selvom det nogle gange er nødvendigt at nedgradere en pc, for eksempel når en ny version forårsager problemer, der ikke kan rettes på det tidspunkt, kan processen også bruges til at fjerne visse sikkerhedsopdateringer eller beskyttelser fra operativsystemet.
Windows-nedgraderingsangrebet
Sikkerhedsforsker Alon Leviev udviklede værktøjet Windows Downdate for at demonstrere, at nedgraderingsangreb er mulige, selv på fuldt patchede versioner af Windows.
Han beskriver værktøjet på følgende måde: "et værktøj til at overtage Windows Update-processen for at lave fuldstændigt uopdagelige, usynlige, vedvarende og irreversible nedgraderinger på kritiske OS-komponenter - der gjorde det muligt for mig at hæve privilegier og omgå sikkerhedsfunktioner".
Ved hjælp af værktøjet var Leviev i stand til at omdanne fuldt patchede og sikrede Windows-enheder til forældede Windows-enheder, der var "modtagelige for tusindvis af tidligere sårbarheder".
Leviev løftede sløret for forskningsprojektet på Black Hat USA 2024 og Def Con 32. Han formåede at nedgradere et fuldt patchet Windows-system med succes under demonstrationer og forberedte systemerne på en særlig måde, så Windows Update ikke ville finde nye opdateringer.
For at gøre ondt værre er nedgraderingsangrebet både uopdagligt af slutpunktsdetektering og svarløsninger og usynligt i forhold til operativsystemets komponenter. Operativsystemet fremstår med andre ord up-to-date, mens det faktisk ikke er det.
Nedgraderingen er også vedvarende og irreversibel. Sidstnævnte betyder, at scanne og reparere værktøjer for ikke at opdage problemer eller kan reparere nedgraderingen.
Du kan tjekke blogindlægget på SafeBreach-webstedet for tekniske detaljer.
Microsofts svar
Microsoft blev informeret om sårbarheden på forhånd. Den sporer problemerne her:
- CVE-2024-21302— Windows Secure Kernel Mode-sårbarhed med udvidelse af privilegier
- CVE-2024-38202— Windows Update Stack Elevation of Privilege sårbarhed
Den maksimale sværhedsgrad af begge problemer blev sat til vigtig af Microsoft.
Microsoft har allerede tilføjet en registrering til Microsoft Defender for Endpoint. Dette er designet til at advare kunder om udnyttelsesforsøg.
Læs også:Referencer til 'homeOS' opdaget i tvOS 17.4 beta
Selskabet anbefaler flere handlinger ved siden af dette. Selvom de ikke "dæmper sårbarheden", "reducerer de risikoen for udnyttelse".
I en nøddeskal:
- Konfigurer "Audit Object Access"-indstillinger for at overvåge forsøg på at få adgang til filer, såsom oprettelse af håndtag, læse-/skrivehandlinger eller ændringer af sikkerhedsbeskrivelser.
- KRevision af følsomme privilegier, der bruges til at identificere adgang, ændring eller erstatning af VBS-relaterede filer, kan hjælpe med at indikere forsøg på at udnytte denne sårbarhed.
- Beskyt din Azure-lejer ved at undersøge administratorer og brugere, der er markeret for risikable logins, og rotere deres legitimationsoplysninger.
- Aktivering af Multi-Factor Authentication kan også hjælpe med at afhjælpe bekymringer om kompromitterede konti eller eksponering.
Afsluttende ord
Angrebet kræver administrative rettigheder. En god forholdsregel er at bruge en almindelig brugerkonto til daglige aktiviteter på Windows-pc'er. Microsoft vil frigive en rettelse til problemet i fremtiden.
Hvad er din holdning til dette? Du er velkommen til at efterlade en kommentar nedenfor.