Lỗ hổng Windows Update khiến hệ thống dễ bị tấn công bởi các mối đe dọa bảo mật trong quá khứ
Một lỗ hổng bảo mật đáng lo ngại trong Microsoft Windows đã được phát hiện, cho phép kẻ tấn công khai thác quy trình cập nhật và hạ cấp các thành phần quan trọng của hệ thống xuống các phiên bản dễ bị tổn thương. Lỗ hổng "Windows Downdate" này thực sự đã vô hiệu hóa các bản vá bảo mật, có khả năng khiến hệ thống bị lộ ra hàng nghìn lỗ hổng trong quá khứ.
 |
|---|
| Một biểu diễn đồ họa của logo Windows nhấn mạnh lỗ hổng trong hệ thống Windows Update có thể khiến các hệ thống bị phơi bày trước các mối đe dọa bảo mật trong quá khứ |
Những điểm chính:
- Nhà nghiên cứu Alon Leviev từ SafeBreach đã trình diễn cách khai thác tại Black Hat USA 2024
- Lỗ hổng cho phép bỏ qua các bước xác minh của Windows Update và việc thực thi Trusted Installer
- Kẻ tấn công có thể hạ cấp các trình điều khiển, tệp DLL, và thậm chí cả nhân NT mà không bị phát hiện
- Toàn bộ ngăn xếp ảo hóa đều có nguy cơ, bao gồm cả Secure Kernel và hypervisor của Hyper-V
- Bảo mật dựa trên ảo hóa có thể bị vô hiệu hóa, ngay cả khi được thực thi bởi khóa UEFI
 |
|---|
| Với các cuộc trình diễn bảo mật tiềm năng trong tâm trí, một biểu tượng cảnh báo nhấn mạnh tính cấp bách trong việc giải quyết lỗ hổng Windows Downdate |
Cách thức hoạt động
Cuộc tấn công liên quan đến việc tạo ra một danh sách hành động hạ cấp tùy chỉnh được thêm vào registry của Windows. Bằng cách đổi tên một thư mục tệp, nó bỏ qua bảo mật dựa trên ảo hóa (VBS) và đánh lừa hệ thống chấp nhận các tệp hệ thống lỗi thời, dễ bị tổn thương. Điều này khiến việc hạ cấp độc hại trông giống như một bản cập nhật hợp pháp, khiến nó không thể bị phát hiện bởi các công cụ bảo mật tiêu chuẩn.
Tác động rộng rãi
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản hiện tại của Windows, bao gồm cả hệ thống Windows 11 đã được vá đầy đủ. Nó có khả năng khiến máy tính bị lộ ra các lỗ hổng được cho là đã được giải quyết, làm vô hiệu hóa khái niệm về một hệ thống đã được vá đầy đủ cho đến khi một bản sửa lỗi được triển khai.
Phản hồi của Microsoft
Microsoft đã xác nhận lỗ hổng này, gán cho nó mã CVE-2024-38202 và CVE-2024-21302. Công ty hiện đang làm việc trên các biện pháp giảm thiểu, nhưng một bản sửa lỗi toàn diện có thể mất thời gian do bản chất phức tạp của lỗi thiết kế ảnh hưởng đến nhiều chương trình con.
Ý nghĩa rộng lớn hơn
Leviev cho rằng loại lỗ hổng này có thể không chỉ giới hạn ở Windows và có khả năng ảnh hưởng đến các hệ điều hành khác. Ông kêu gọi cả nhà cung cấp và nhà nghiên cứu khám phá các vectơ tấn công mới để ngăn chặn các lỗ hổng tương tự trong tương lai.
Người dùng có thể làm gì
Mặc dù chưa có báo cáo về việc khai thác trong thực tế, người dùng và tổ chức nên duy trì cảnh giác và đảm bảo áp dụng các bản cập nhật bảo mật ngay khi Microsoft phát hành bản sửa lỗi. Trong thời gian chờ đợi, điều quan trọng là duy trì các biện pháp bảo mật tổng thể mạnh mẽ và theo dõi hệ thống để phát hiện bất kỳ hoạt động bất thường nào.
Phát hiện này nhấn mạnh những thách thức liên tục trong việc duy trì các biện pháp an ninh mạng mạnh mẽ, ngay cả trong các hệ điều hành được sử dụng rộng rãi và cập nhật thường xuyên. Nó nhắc nhở về tầm quan trọng của nghiên cứu bảo mật liên tục và nhu cầu các nhà cung cấp hệ điều hành phải giải quyết không chỉ các lỗ hổng riêng lẻ, mà còn cả các loại tấn công tiềm năng.