Tutti sappiamo che dopo aver installato le patch di sicurezza mensilmente rilasciate da Microsoft, Windows è immune ai tentativi di aggressione che sfruttano le vulnerabilità risolte. A meno di aggiornamenti imperfetti, l’installazione delle patch messe a disposizione dall’azienda di Redmond aiuta a mettersi al riparo da qualunque rischio di attacco. Almeno per quanto riguarda le vulnerabilità note. I ricercatori di SafeBreach hanno tuttavia scoperto che esiste la possibilità di sferrare un attacco downgrade a Windows Update. Le conseguenze possono essere devastanti.
Sfruttando due problematiche di sicurezza ancora presenti in Windows, un attaccante può annullare gli effetti delle patch applicate attraverso Windows Update e rendere il sistema nuovamente vulnerabile. Per quegli stessi problemi che erano stati nel frattempo risolti.
Cosa ancora più grave, Windows Update non si accorge dell’aggressione e non segnala alcun rischio agli utenti, ritenendo invece che il sistema sia perfettamente aggiornato con le ultime patch.
Superate tutte le protezioni avanzate di Windows, come VBS
Windows Virtualization-Based Security (VBS) è una funzione di sicurezza avanzata disponibile nei sistemi operativi Windows, progettata per proteggere il sistema operativo da attacchi sofisticati. VBS utilizza le funzionalità di virtualizzazione hardware per creare un ambiente isolato dalla porzione principale del sistema operativo. In questo ambiente sicuro, il sistema esegue operazioni critiche di sicurezza, proteggendole da eventuali compromissioni.
Credential Guard è una funzionalità di VBS che protegge le credenziali di autenticazione (come password e token di sessione) isolandole nel contesto sicuro creato da VBS, rendendole inaccessibili anche se il sistema operativo principale dovesse risultare compromesso. VBS utilizza inoltre HVCI (Hypervisor-Protected Code Integrity) per assicurarsi che solo il codice firmato e attendibile possa essere eseguito nel kernel di Windows, riducendo il rischio di esecuzione di codice malevolo o non autorizzato.
Il BIOS UEFI integra inoltre funzionalità specifiche per abilitare o disabilitare funzionalità di sicurezza come VBS. La gestione tramite UEFI impedisce agli utenti e ad eventuali malware di disattivare le funzionalità di sicurezza una volta che sono state abilitate, fornendo un ulteriore strato di protezione.
Secondo Alon Leviev, uno dei ricercatori di SafeBreach che ha descritto l’attacco downgrade nei confronti di Windows Update, è la prima volta che qualcuno dimostra come sia davvero possibile superare le protezioni UEFI per disabilitare funzionalità di sicurezza come VBS, senza accesso fisico alla macchina.
Per bypassare i blocchi UEFI è infatti di solito necessario l’accesso accesso diretto al firmware, ad esempio attraverso un’interfaccia fisica. Il fatto che Leviev e i suoi collaborati siano riusciti a condurre un attacco tramite software, eventualmente attivabile anche in modalità remota, è significativo.
Implicazioni in termini di sicurezza
L’attacco downgrade a Windows Update potrebbe avere importanti implicazioni in termini di sicurezza: dimostra che anche le protezioni considerate molto sicure, come i blocchi imposti a livello UEFI, possono essere scavalcate. Così, un attaccante diventa in grado di disabilitare misure di sicurezza critiche, esponendo il sistema a rischi significativi come il furto di credenziali o l’esecuzione di codice non autorizzato.
All’atto pratico, un sistema Windows completamente aggiornato diventa all’improvviso esposto a centinaia di vulnerabilità scoperte e aggiornate in passato. Problemi di sicurezza già risolti tornano così zero-day sfruttabili per condurre attacchi informatici.
Quali operazioni svolgere per evitare rischi di attacco
Suonerà strano ma uno dei modi migliori per scongiurare i rischi di aggressione è continuare ad aggiornare i propri sistemi Windows e i software utilizzati per comunicare in rete, a partire dal browser Web. L’utilizzo combinato di più vulnerabilità può infatti facilitare gli attacchi.
Allo stesso modo, è essenziale evitare l’esecuzione di file e l’apertura di documenti provenienti da fonti non sicure.
Le due vulnerabilità in questione (CVE-2024-38202 e CVE-2024-21302) sono state segnalate a Microsoft da SafeBreach a febbraio 2024. Da allora l’azienda di Redmond non ha ancora rilasciato alcuna patch, pur confermando di essere al lavoro per arginare il problema. Uno dei due bollettini pubblicati dai tecnici di Redmond contiene alcuni suggerimenti sugli interventi che si possono mettere in campo per ridurre la superficie di attacco.
Il video pubblicato al paragrafo Demo, mostra come avviene l’attacco su un sistema Windows 10 aggiornato con tutte le patch Microsoft.
Credit immagine in apertura: Copilot Designer