Güvenlik araştırmacısı Alon Leviev Black Hat 2024’te iki zero-day gün güvenlik açığının tamamen güncellenmiş Windows 10, Windows 11 ve Windows Server sistemlerini “Downgrade” ederek eski güvenlik açıklarını yeniden getirmek için kullanılabileceğini açıkladı.
Windows Güncelleme Sürecindeki Açıklar
Alon Leviev, Windows güncelleme sürecinin kritik OS bileşenlerini, dinamik bağlantı kitaplıkları (DLL) ve NT Kernel gibi, Downgrade için kullanılabileceğini keşfetti. Tüm bu bileşenler güncel olmasa da Windows Update ile kontrol edildiğinde işletim sistemi tamamen güncel olarak rapor ediliyor ve kurtarma ve tarama araçları herhangi bir sorun tespit etmiyor.
Leviev, zero-day açıklarını kullanarak Credential Guard’ın Secure Kernel ve Isolated User Mode Process’ini ve Hyper-V hypervisor’ü downgrade ederek eski açıklarını ortaya çıkarabileceğini de belirtti.
Leviev’in belirttiğine göre, bu downgrade saldırısı tespit edilemez, çünkü EDR çözümleri tarafından engellenemez ve görünmaz bunun nedeni Windows Update cihazın güncellenmiş olduğunu rapor eder.
Altı Ay Sonra Hala Yama Yok
Microsoft, bugün yaptığı açıklamada, Leviev’in ayrıcalıkları yükseltmek, kötü amaçlı güncellemeler oluşturmak ve Windows sistem dosyalarını eski sürümlerle değiştirerek güvenlik açıklarını yeniden getirmek için kullandığı Windows Update Stack Elevation of Privilege (CVE-2024-38202) ve Windows Secure Kernel Mode Elevation of Privilege (CVE-2024-21302) güvenlik açıkları için hala bir düzeltme üzerinde çalıştığını söyledi.
Microsoft, şu anda bu güvenlik açığının public ortamda istismar edildiğine dair bir bilgi olmadığını ve bugün yayınlanan iki güvenlik danışma belgesinde paylaşılan önerilerin uygulanmasının, güvenlik güncellemesi yayınlanana kadar sömürülme riskini azaltmaya yardımcı olacağını belirtti.