Нещодавно дослідник з безпеки з компанії SafeBreach, Алон Левієв, випустив інструмент під назвою Windows Downdate, який дозволяє “відкотити” ключові елементи операційних систем Windows 10, Windows 11 та Windows Server до попередніх версій. Незвичною особливістю цього інструменту є його здатність відновлювати старі, вже виправлені вразливості. Це, безумовно, викликало хвилю обговорень у спільноті ІТ-спеціалістів.
Функціонал Windows Downdate: що в ньому небезпечного?
Windows Downdate — це програма з відкритим вихідним кодом, розроблена на мові Python, яка доступна як у вигляді вихідного коду, так і в якості готового виконуваного файлу для Windows. З її допомогою можна відкотити різні компоненти операційної системи, зокрема Hyper-V, ядро Windows, драйвери NTFS та Filter Manager, до їхніх базових версій. Це також дозволяє знову активувати вразливості, які раніше були закриті оновленнями.
За словами Левієва, використання цього інструменту неможливо виявити стандартними засобами захисту, такими як рішення для виявлення та реагування на загрози на кінцевих точках (EDR). Інструмент обходить ці засоби, залишаючи Windows Update у впевненості, що система оновлена. Це відкриває нові можливості для зловмисників, які можуть скористатися цими вразливостями для компрометації систем.
Реакція Microsoft і можливі заходи захисту
Microsoft вже відреагувала на появу Windows Downdate, закликавши користувачів бути пильними. Компанія рекомендує дочекатися нових оновлень, які мають закрити ці вразливості. Однак, поки що не всі проблеми вирішені. Наприклад, вразливість CVE-2024-38202 все ще залишається відкритою, і для неї ще не випущено патч.
Для тимчасового захисту Microsoft радить налаштувати параметри “Audit Object Access” для моніторингу спроб доступу до файлів, обмежити операції оновлення та відновлення, а також використовувати списки контролю доступу для обмеження доступу до критичних файлів. Крім того, слід проводити аудит привілеїв для виявлення спроб використання цієї уразливості.
Чому це важливо: новий рівень небезпеки
Використання Windows Downdate може мати серйозні наслідки для інформаційної безпеки. За словами Левієва, це перший випадок, коли вдалося обійти захист UEFI без фізичного доступу до пристрою, роблячи навіть повністю пропатчену систему Windows вразливою для атак. Це показує, наскільки важливо постійно оновлювати та перевіряти безпеку системи, адже навіть найсучасніші засоби захисту можуть бути обійдені.
З іншого боку, цей інструмент також може стати корисним для дослідників безпеки, які прагнуть вивчити старі вразливості та розробити нові способи їх усунення. Проте, його використання в руках зловмисників може призвести до серйозних проблем, тому важливо розуміти всі ризики, пов'язані з його застосуванням.
Висновок: потрібно бути завжди на сторожі
Windows Downdate — це потужний інструмент, який відкриває нові можливості для дослідників безпеки, але також створює нові загрози для користувачів Windows. Зловмисники можуть скористатися ним для відновлення старих вразливостей, що робить навіть оновлені системи вразливими до атак. Тому користувачам слід уважно стежити за оновленнями системи та дотримуватися рекомендацій з безпеки, щоб мінімізувати ризики.
