{"id":22921,"date":"2024-09-05T09:56:54","date_gmt":"2024-09-05T12:56:54","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22921"},"modified":"2024-09-05T09:56:54","modified_gmt":"2024-09-05T12:56:54","slug":"windows-downgrade-downdate-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/windows-downgrade-downdate-protection\/22921\/","title":{"rendered":"Como se proteger contra ataques de downgrade do Windows"},"content":{"rendered":"

Todos os aplicativos de software, incluindo sistemas operacionais, cont\u00eam vulnerabilidades, portanto, as atualiza\u00e7\u00f5es regulares para corrigi-los s\u00e3o a base da seguran\u00e7a cibern\u00e9tica. Os pesquisadores que criaram o ataque Windows Downdate<\/a> visavam esse mecanismo de atualiza\u00e7\u00e3o, e a revers\u00e3o furtiva de um sistema Windows totalmente atualizado para uma vers\u00e3o mais antiga que cont\u00e9m arquivos e servi\u00e7os vulner\u00e1veis. Isso deixa o sistema exposto a explora\u00e7\u00f5es conhecidas e comprometimento de n\u00edvel profundo, incluindo o hipervisor<\/a> e o kernel seguro. Ainda pior, a atualiza\u00e7\u00e3o padr\u00e3o e as verifica\u00e7\u00f5es de integridade do sistema indicar\u00e3o que tudo est\u00e1 atualizado e funcionando bem.<\/p>\n

Mecanismo de ataque<\/h2>\n

Os pesquisadores realmente encontraram duas falhas separadas com mecanismos operacionais um pouco diferentes. Uma vulnerabilidade, atribu\u00edda com o ID CVE-2024-21302<\/a> e apelidada de Downdate, \u00e9 baseada em uma falha no processo de instala\u00e7\u00e3o da atualiza\u00e7\u00e3o: os componentes de atualiza\u00e7\u00e3o baixados s\u00e3o controlados, protegidos contra modifica\u00e7\u00f5es e assinados digitalmente, mas durante um dos est\u00e1gios intermedi\u00e1rios da instala\u00e7\u00e3o (entre as reinicializa\u00e7\u00f5es), o procedimento de atualiza\u00e7\u00e3o cria e utiliza um arquivo contendo uma lista de a\u00e7\u00f5es planejadas (pending.xml). Se os invasores puderem criar sua pr\u00f3pria vers\u00e3o desse arquivo e adicionar informa\u00e7\u00f5es sobre ele ao registro, o servi\u00e7o Instalador de M\u00f3dulos do Windows (TrustedInstaller)<\/a> executar\u00e1 as instru\u00e7\u00f5es nele ap\u00f3s a reinicializa\u00e7\u00e3o.<\/p>\n

Na verdade, o conte\u00fado de pending.xml \u00e9 verificado, mas isso \u00e9 feito durante os est\u00e1gios de instala\u00e7\u00e3o anteriores<\/strong> e o TrustedInstaller n\u00e3o o verifica novamente. Obviamente, \u00e9 imposs\u00edvel gravar o que voc\u00ea quiser no arquivo e instalar arquivos arbitr\u00e1rios dessa forma, j\u00e1 que eles devem ser assinados pela Microsoft, mas substituir arquivos de sistema por arquivos mais antigos desenvolvidos pela Microsoft \u00e9 bastante vi\u00e1vel. Isso pode expor novamente o sistema a vulnerabilidades corrigidas h\u00e1 muito tempo, incluindo as que s\u00e3o cr\u00edticas. A adi\u00e7\u00e3o das chaves necess\u00e1rias relacionadas ao arquivo pending.xml ao registro requer privil\u00e9gios de administrador, ap\u00f3s os quais uma reinicializa\u00e7\u00e3o do sistema deve ser iniciada. No entanto, estas s\u00e3o as \u00fanicas limita\u00e7\u00f5es significativas. Esse ataque n\u00e3o exige privil\u00e9gios elevados (para os quais o Windows escurece a tela e solicita permiss\u00e3o adicional de um administrador), e a maioria das ferramentas de seguran\u00e7a n\u00e3o identifica como suspeitas as a\u00e7\u00f5es realizadas durante o ataque.<\/p>\n

A segunda vulnerabilidade, CVE-2024-38202<\/a>, possibilita que um agente manipule a pasta Windows.old, na qual o sistema de atualiza\u00e7\u00e3o armazena a instala\u00e7\u00e3o anterior do Windows. Embora modificar arquivos nesta pasta exija privil\u00e9gios especiais, um invasor com direitos de usu\u00e1rio regulares pode renome\u00e1-la, criar um novo arquivo Windows.old e colocar nela vers\u00f5es desatualizadas e vulner\u00e1veis dos arquivos de sistema do Windows. Iniciar uma restaura\u00e7\u00e3o do sistema reverte o Windows para a instala\u00e7\u00e3o vulner\u00e1vel. Determinados privil\u00e9gios s\u00e3o necess\u00e1rios para a restaura\u00e7\u00e3o do sistema, mas estes n\u00e3o s\u00e3o privil\u00e9gios de administrador e \u00e0s vezes s\u00e3o concedidos a usu\u00e1rios comuns.<\/p>\n

Contorno de VBS e roubo de senha<\/h2>\n

Desde 2015, a arquitetura do Windows foi redesenhada para evitar que o kernel do Windows seja comprometido e leve ao comprometimento de todo o sistema. Isso envolve uma s\u00e9rie de medidas conhecidas coletivamente como seguran\u00e7a baseada em virtualiza\u00e7\u00e3o (VBS)<\/a>. Entre outras coisas, o hipervisor do sistema \u00e9 usado para isolar componentes do sistema operacional e criar um kernel seguro para executar as opera\u00e7\u00f5es mais confidenciais, armazenar senhas e assim por diante.<\/p>\n

Para impedir que invasores desativem o VBS, o Windows pode ser configurado para tornar isso imposs\u00edvel, mesmo com direitos de administrador. A \u00fanica maneira de desativar essa prote\u00e7\u00e3o \u00e9 reinicializar o computador em um modo especial e inserir um comando de teclado. Esse recurso \u00e9 chamado de bloqueio de Interface Unificada de Firmware Extens\u00edvel (Unified Extensible Firmware Interface, UEFI). O ataque Windows Downdate tamb\u00e9m ignora essa restri\u00e7\u00e3o, substituindo arquivos por vers\u00f5es modificadas, desatualizadas e vulner\u00e1veis. O VBS n\u00e3o verifica se os arquivos do sistema est\u00e3o atualizados, ent\u00e3o, eles podem ser substitu\u00eddos por vers\u00f5es mais antigas e vulner\u00e1veis, sem sinais detect\u00e1veis ou mensagens de erro. Ou seja, o VBS n\u00e3o est\u00e1 tecnicamente desativado, mas o recurso n\u00e3o executa mais sua fun\u00e7\u00e3o de seguran\u00e7a.<\/p>\n

Este ataque possibilita a substitui\u00e7\u00e3o de arquivos do kernel seguro e do hipervisor por vers\u00f5es de dois anos que cont\u00e9m diversas vulnerabilidades cuja explora\u00e7\u00e3o leva \u00e0 escalada de privil\u00e9gios. Como resultado, os invasores podem obter privil\u00e9gios m\u00e1ximos do sistema, acesso total ao hipervisor e aos processos de prote\u00e7\u00e3o de mem\u00f3ria, al\u00e9m da capacidade de ler facilmente credenciais, senhas com hash e tamb\u00e9m hashes NTLM<\/a> da mem\u00f3ria (que podem ser usados para expandir o ataque de rede).<\/p>\n

Prote\u00e7\u00e3o contra o Downdate<\/h2>\n

A Microsoft foi informada sobre as vulnerabilidades do Downdate em fevereiro de 2024, mas somente em agosto os detalhes foram divulgados como parte do lan\u00e7amento mensal do pacote de atualiza\u00e7\u00f5es de software Patch Tuesday. Corrigir os bugs provou ser uma tarefa dif\u00edcil e repleta de efeitos colaterais, incluindo a falha de alguns sistemas Windows. Portanto, em vez de se apressar para publicar outro patch, a Microsoft, por enquanto, simplesmente forneceu algumas dicas para reduzir os riscos. Elas incluem o seguinte:<\/p>\n