Los ataques de downgrade fuerzan al software a volver a una versión anterior y vulnerable de sí mismo. En 2023, apareció el famoso bootkit BlackLotus UEFI, que degradaba el gestor de arranque de Windows para eludir Secure Boot. Microsoft abordó la amenaza, mitigando los ataques de downgrade en el gestor de arranque para proteger Secure Boot contra los downgrades. Sin embargo, varios investigadores se preguntaban si Secure Boot era el único componente crítico vulnerable a los ataques de downgrade.
Con el objetivo de encontrar un flujo de downgrade indetectable, investigamos la entidad menos sospechosa de ejecutar ataques de downgrade: Windows Updates, e identificamos su talón de Aquiles, lo que nos permitió tomar el control total sobre ella. Esto nos permitió crear actualizaciones de downgrade, eludiendo todos los pasos de verificación realizados durante las actualizaciones, incluyendo la verificación de integridad y la aplicación de Trusted Installer.
Armados con estas capacidades, conseguimos degradar componentes críticos del sistema operativo, incluyendo DLLs, controladores e incluso el kernel NT. Después, el sistema operativo informaba de que estaba totalmente actualizado, incapaz de instalar futuras actualizaciones, y las herramientas de recuperación y análisis eran incapaces de detectar problemas.
A continuación, apuntamos más alto y descubrimos que toda la pila de virtualización también estaba en peligro. Conseguimos degradar el hipervisor de Hyper-V, Secure Kernel y el proceso de modo de usuario aislado de Credential Guard para exponer vulnerabilidades anteriores de escalada de privilegios.
Además, descubrimos múltiples formas de desactivar la seguridad basada en virtualización (VBS), incluidas sus funciones como Credential Guard y la integridad de código protegida por hipervisor (HVCI), incluso cuando se aplica con bloqueos UEFI. Por lo que sabemos, es la primera vez que se eluden los bloqueos UEFI de VBS sin acceso físico.
Por último, descubrimos otra vulnerabilidad en un escenario de restauración de Windows Updates, ¡haciendo que todos los vectores de ataque sean accesibles por atacantes sin privilegios!
En esta charla, presentaremos «Windows Downdate» – una herramienta que se apodera de Windows Updates para crear downgrades personalizados y exponer miles de vulnerabilidades pasadas, convirtiendo vulnerabilidades arregladas en 0-days. Hace que el término «totalmente parcheado» carezca de sentido en cualquier máquina Windows del mundo.
Edit: Ya se encuentran disponibles 2 CVE asignados a estas vulnerabilidades:
- CVE-2024-38202 (CVSS score: 7.3) – Windows Update Stack Elevation of Privilege Vulnerability
- CVE-2024-21302 (CVSS score: 6.7) – Windows Secure Kernel Mode Elevation of Privilege Vulnerability