Недавно исследователь по безопасности из компании SafeBreach, Алон Левиев, выпустил инструмент под названием Windows Downdate, который позволяет "откатить" ключевые элементы операционных систем Windows 10, Windows 11 и Windows Server до предыдущих версий. Необычной особенностью этого инструмента является его способность восстанавливать старые, уже исправленные уязвимости. Это, безусловно, вызвало волну обсуждений в сообществе ИТ-специалистов.
Функционал Windows Downdate: что в нем опасного?
Windows Downdate – это программа с открытым исходным кодом, разработанная на языке Python, которая доступна как в виде исходного кода, так и в качестве готового исполняемого файла для Windows. С ее помощью можно откатить различные компоненты операционной системы, в частности Hyper-V, ядро Windows, драйверы NTFS и Filter Manager, до их базовых версий. Это также позволяет снова активировать уязвимости, которые ранее были закрыты обновлениями.
По словам Левиева, использование этого инструмента невозможно обнаружить стандартными средствами защиты, такими как решения для обнаружения и реагирования на угрозы на конечных точках (EDR). Инструмент обходит эти средства, оставляя Windows Update в уверенности, что система обновлена. Это открывает новые возможности для злоумышленников, которые могут воспользоваться этими уязвимостями для компрометации систем.
Реакция Microsoft и возможные меры защиты
Microsoft уже отреагировала на появление Windows Downdate, призвав пользователей быть бдительными. Компания рекомендует дождаться новых обновлений, которые должны закрыть эти уязвимости. Однако, пока что не все проблемы решены. Например, уязвимость CVE-2024-38202 все еще остается открытой, и для нее еще не выпущен патч.
Для временной защиты Microsoft советует настроить параметры "Audit Object Access" для мониторинга попыток доступа к файлам, ограничить операции обновления и восстановления, а также использовать списки контроля доступа для ограничения доступа к критическим файлам. Кроме того, следует проводить аудит привилегий для выявления попыток использования этой уязвимости.
Почему это важно: новый уровень опасности
Использование Windows Downdate может иметь серьезные последствия для информационной безопасности. По словам Левиева, это первый случай, когда удалось обойти защиту UEFI без физического доступа к устройству, делая даже полностью пропатченную систему Windows уязвимой для атак. Это показывает, насколько важно постоянно обновлять и проверять безопасность системы, ведь даже самые современные средства защиты могут быть обойдены.
С другой стороны, этот инструмент также может стать полезным для исследователей безопасности, которые стремятся изучить старые уязвимости и разработать новые способы их устранения. Тем не менее, его использование в руках злоумышленников может привести к серьезным проблемам, поэтому важно понимать все риски, связанные с его применением.
Вывод: нужно быть всегда на страже
Windows Downdate – это мощный инструмент, который открывает новые возможности для исследователей безопасности, но также создает новые угрозы для пользователей Windows. Злоумышленники могут воспользоваться им для восстановления старых уязвимостей, что делает даже обновленные системы уязвимыми к атакам. Поэтому пользователям следует внимательно следить за обновлениями системы и следовать рекомендациям по безопасности, чтобы минимизировать риски.
