Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 29 Ottobre 2024 07:19
Gli aggressori potrebbero eseguire il downgrade dei componenti del kernel di Windows per aggirare le funzionalità di sicurezza come Driver Signature Enforcement e implementare un rootkit su sistemi completamente aggiornati, ha avvertito lo specialista di SafeBreach Alon Leviev.
Secondo il ricercatore, un simile attacco è possibile se si prende il controllo del processo di Windows Update e si introducono componenti software obsoleti e vulnerabili nella macchina aggiornata, senza modificare lo stato del sistema operativo completo di patch.
All’inizio di quest’anno Leviev aveva già dimostrato che un simile attacco era fattibile, ma il problema non è ancora stato completamente eliminato, il che rende possibile un downgrade o un rollback della versione.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ad agosto il ricercatore ha addirittura pubblicato lo strumento Windows Downdate, che può essere utilizzato per attacchi downgrade alle versioni downgrade di Windows 10, Windows 11 e Windows Server tramite componenti obsoleti come DLL, driver e kernel NT. Di conseguenza, ciò consente lo sfruttamento di vulnerabilità già corrette, poiché il sistema operativo diventa nuovamente vulnerabile a vecchi bug.
Ora il ricercatore afferma che, sebbene la sicurezza del kernel sia migliorata in modo significativo nel corso degli anni, è riuscito a bypassare la funzionalità Driver Signature Enforcement (DSE), dimostrando così che un utente malintenzionato può caricare driver del kernel non firmati e quindi distribuire un rootkit sulla macchina che disabilita la protezione e nasconde l’attività, che potrebbe portare al rilevamento di un hack.
Sebbene le nuove misure di sicurezza rendano più difficile compromettere il kernel, “la possibilità di eseguire il downgrade dei componenti presenti nel kernel rende molto più semplice il compito degli aggressori”, afferma Leviev.
Il ricercatore ha chiamato questo metodo di bypass DSE ItsNotASecurityBoundary perché è correlato al downgrade e all’exploit ItsNotASecurityBoundary, precedentemente identificato dagli specialisti di Elastic e che consente l’esecuzione di codice arbitrario con privilegi del kernel.
Il nuovo attacco si basa sulla sostituzione del file ci.dll, responsabile dell’implementazione di DSE, con una versione vulnerabile che ignora le firme dei driver, consentendogli di aggirare i controlli di sicurezza di Windows.
Sempre nel nuovo articolo, Leviev descrive i metodi per aggirare il meccanismo di sicurezza basato sulla virtualizzazione (VBS) di Microsoft, che crea un ambiente isolato per proteggere le risorse sensibili, incluso il meccanismo di integrità del codice del kernel (skci.dll) e le credenziali dell’utente autenticato.
Pertanto, VBS si basa in genere su meccanismi di sicurezza come blocchi UEFI e configurazioni del registro per impedire modifiche non autorizzate, ma questi possono essere disabilitati modificando le chiavi di registro se le impostazioni di sicurezza non sono massime (il flag “Mandatory“). Se parzialmente abilitati, i file chiave VBS (come SecureKernel.exe) possono essere sostituiti con versioni non valide, che interromperanno VBS e apriranno la strada alla sostituzione di ItsNotASecurityBoundary e ci.dll.
Come rileva Bleeping Computer, sebbene le vulnerabilità scoperte dall’esperto (CVE-2024-38202 e CVE-2024-21302) siano già state divulgate pubblicamente e dimostrate alle conferenze BlackHat e DEFCON, Microsoft non ha ancora risolto il problema associato a Windows Update.
Come afferma lo stesso Leviev, il problema non è stato risolto, poiché, secondo i rappresentanti di Microsoft, “un errore che consente di eseguire il codice del kernel come amministratore non supera un determinato limite di sicurezza (non è una vulnerabilità)”.
Tuttavia, Microsoft ha detto ai giornalisti che la società sta già “sviluppando attivamente protezioni contro questi rischi”, ma si tratta di un processo lento che prevede “un’indagine approfondita, lo sviluppo di aggiornamenti per tutte le versioni interessate e test di compatibilità” per evitare possibili guasti.
RedazioneLa notizia è stata anticipata da politico.eu: a partire da maggio 2025, la Commissione von der Leyen revisionerà il GDPR introducendo semplificazioni. Certo, non sarebbe male pubblicare prim...
Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...
Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
