Un ricercatore di sicurezza ha sviluppato uno strumento chiamato "Windows Downdate", in grado di sfruttare una vulnerabilità critica nel processo di aggiornamento di Windows per effettuare downgrade invisibili e persistenti di componenti critici del sistema operativo. La scoperta è stata presentata questa settimana alle conferenze Black Hat USA 2024 e DEF CON 32.
Lo strumento, creato dal ricercatore Anon Leviev di SafeBreach, è in grado di bypassare tutti i controlli di sicurezza di Windows Update, incluse le verifiche di integrità, per installare versioni obsolete e vulnerabili di driver, DLL e persino del kernel NT. Ciò espone i sistemi Windows a migliaia di vecchie vulnerabilità già corrette, rendendo di fatto inefficaci gli aggiornamenti di sicurezza.
La gravità della vulnerabilità è amplificata dal fatto che colpisce anche l'intero stack di virtualizzazione di Windows, compromettendo tecnologie di sicurezza come Secure Kernel, Hyper-V e Credential Guard. Secondo Leviev, questo permette di disabilitare le protezioni basate sulla virtualizzazione anche quando sono applicate a livello UEFI.
Microsoft è stata informata del problema a febbraio 2024 e ha pubblicato due avvisi di sicurezza (CVE-2024-38202 e CVE-2024-21302). L'azienda sta lavorando a una patch, ma al momento tutti i sistemi Windows 11 aggiornati risultano potenzialmente vulnerabili.
La scoperta di questa vulnerabilità mette in discussione l'efficacia degli attuali processi di aggiornamento dei sistemi operativi. Leviev ha sottolineato che anche altri OS come macOS e Linux potrebbero essere suscettibili ad attacchi simili.
Gli esperti invitano i produttori di sistemi operativi a rivedere urgentemente i propri meccanismi di aggiornamento e a considerare caratteristiche esistenti come potenziali vettori di attacco. Nel frattempo, gli utenti dovrebbero prestare particolare attenzione alla sicurezza dei propri sistemi in attesa di una soluzione definitiva da parte di Microsoft.