Fino a poco tempo fa, le patch di sicurezza per Windows erano uno strumento definitivo per proteggere un PC da nuove minacce informatiche. Sfortunatamente, è stata scoperta una nuova tecnica che permette di effettuare dei veri e propri downgrade capace di rendere una macchina nuovamente vulnerabile ad attacchi considerati ormai inefficaci.
Sebbene questo tipo di attacco sia già stato segnalato negli scorsi giorni, a sottolineare ulteriormente la sua pericolosità è stato Alon Leviev, ricercatore di sicurezza SafeBreach. Il ricercatore ha infatti realizzato uno strumento chiamato Windows Downdate, attraverso cui ha provato come sia possibile effettuare dei downgrade persistenti e irreversibili in ambiente Windows Server e non solo.
Leviev ha spiegato che uno strumento del genere, facile da creare per un cybercriminale, agisce con un attacco rollback, portando il computer colpito ad eliminare precedenti patch di sicurezza, ponendo lo stesso in una posizione vulnerabile.
If you have not checked it out yet, Windows Downdate tool is live! You can use it to take over Windows Updates to downgrade and expose past vulnerabilities sourced in DLLs, drivers, the NT kernel, the Secure Kernel, the Hypervisor, IUM trustlets and more!https://t.co/59DRIvq6PZ
— Alon Leviev (@_0xDeku) August 25, 2024
Il rischio legato al downgrade delle patch di sicurezza di Windows è al momento contenuto
L’esperto ha affermato in un suo post su X, come i cybercriminali possano agire per attacchi che riguardano drive, DLL e non solo oltre a spiare la strada a diverse vulnerabilità note.
Ciò che risulta preoccupante è che, di fatto, risulta al momento impossibile fermare un potenziale attacco di questo tipo. Inoltre agli occhi dell’utente il computer sembra comunque aggiornato, non fornendo alcuna indicazione rispetto a ciò che sta avvenendo realmente.
Sebbene la situazione sia delicata, c’è anche una buona notizia. Per ora, i rischi sono ancora contenuti: Windows Downdate è uno strumento “proof-of-concept“, dunque solo dimostrativo. Inoltre, Leviev ha avvertito di tali vulnerabilità Microsoft già a febbraio 2024, il che significa che il colosso di Redmond sta prendendo certamente tutte le precauzioni del caso.