Trong bài thuyết trình tại hội nghị Black Hat ở Las Vegas, Leviev đã trình bày cách ông có thể chiếm quyền kiểm soát quy trình Windows Update để tạo ra các bản hạ cấp tùy chỉnh trên các thành phần quan trọng của hệ điều hành, nâng cao đặc quyền và bỏ qua các tính năng bảo mật. Ông cho rằng những lỗ hổng lớn trong kiến trúc Windows Update của Microsoft có thể bị tin tặc khai thác để thực hiện các cuộc tấn công hạ cấp phần mềm khiến các lỗ hổng dù đã được vá cũng trở nên vô nghĩa trên bất kỳ máy tính Windows nào trên thế giới.
Nhà nghiên cứu người Israel cho biết: “Tôi có thể làm cho một máy tính chạy được vá đầy đủ trở nên dễ bị tấn công bởi hàng nghìn lỗ hổng trong quá khứ, biến các lỗ hổng đã được vá thành lỗ hổng zero-day”. Ông cho biết ông đã tìm ra cách thao túng tệp danh sách XML để sử dụng công cụ Windows Downdate bỏ qua mọi bước xác minh, bao gồm xác minh tính toàn vẹn và thực thi Trình cài đặt tin cậy.
Trong một cuộc phỏng vấn trước buổi thuyết trình, Leviev cho biết công cụ này có khả năng hạ cấp các thành phần hệ điều hành thiết yếu khiến hệ điều hành báo cáo sai rằng đã được cập nhật đầy đủ. Các cuộc tấn công hạ cấp, còn được gọi là các cuộc tấn công khôi phục phiên bản, sẽ đưa phần mềm an toàn, được cập nhật đầy đủ trở về phiên bản cũ hơn với các lỗ hổng có thể khai thác được.
Leviev cho biết ông đã kiểm tra Windows Update sau khi phát hiện bộ công cụ BlackLotus UEFI Bootkit chứa một thành phần hạ cấp phần mềm và tìm được một số lỗ hổng trong kiến trúc Windows Update để hạ cấp các thành phần chính, bỏ qua khóa UEFI của Windows Virtualization-Based Security (VBS) và phát hiện ra các lỗ hổng leo thang đặc quyền trong ngăn xếp ảo hóa.
Leviev cũng trình bày một cuộc tấn công hạ cấp vào ngăn xếp ảo hóa trong Windows, lợi dụng một cho phép các vòng/mức độ tin cậy ảo ít đặc quyền hơn cập nhật các thành phần nằm trong các vòng/mức độ tin cậy ảo nhiều đặc quyền hơn. Ông mô tả việc hạ cấp phần mềm là "không thể phát hiện" và "vô hình" và cảnh báo rằng hậu quả của vụ tấn công này có thể vượt ra ngoài hệ điều hành Windows.
SafeBreach Labs đã báo cáo sự cố này với Microsoft vào tháng 2 năm nay và đã nỗ lực làm việc trong sáu tháng qua để giúp giảm thiểu sự cố.
Mới đây, Alon Leviev đã công bố công cụ Windows Downdate, dùng để tấn công hạ cấp, đưa các lỗ hổng đã được vá trở lại với Windows 10, Windows 11 và Windows Server. Windows Downdate có ở dạng chương trình nguồn mở Python và tệp thi hành Windows đã được biên dịch. Dù Microsoft đã công bố bản cập nhật KB5041773 để vá lỗ hổng CVE-2024-21302 (Windows Secure Kernel Mode privilege escalation flaw) vào ngày 7/8, cùng ngày Alon Leviev trình bày tại hội nghị Black Hat nhưng họ chưa cung cấp bản vá cho CVE-2024-38202 (lỗ hổng leo thang đặc quyền Windows Update Stack).
Trong khi chờ đợi bản cập nhật bảo mật, khách hàng được khuyên thực hiện các biện pháp nêu trong khuyến cáo bảo mật () để giúp bảo vệ chống lại các cuộc tấn công hạ cấp Windows Downdate. Các biện pháp giảm thiểu bao gồm cấu hình Audit Object Access để theo dõi các nỗ lực truy cập tệp, hạn chế các hoạt động cập nhật và khôi phục, sử dụng Access Control Lists để hạn chế quyền truy cập tệp và kiểm tra đặc quyền để xác định các nỗ lực khai thác lỗ hổng này.
Nguyễn Anh Tuấn (tổng hợp)
07:00 | 27/09/2024
14:00 | 09/09/2024
09:00 | 08/10/2024
09:00 | 11/10/2024
13:00 | 21/08/2024
10:00 | 19/08/2024
16:00 | 04/08/2024
09:00 | 02/08/2024
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
15:00 | 20/09/2024
Nhóm tin tặc tấn công có chủ đích liên quan đến Trung Quốc, được biết đến với tên gọi Mustang Panda, đã bị phát hiện sử dụng phần mềm Visual Studio Code như một phần của hoạt động gián điệp nhắm vào các chính phủ ở khu vực Đông Nam Á.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
14:00 | 08/07/2024
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
07:00 | 14/10/2024