Windows Update obsahuje chybu, která umožní útočníkovi vrátit systém na starší a méně bezpečnou verzi
Microsoft měl možná místo vydávání nových verzí pracovat na XPčkách a možná by po dvaceti letech už byly bez chyb. Nebo ne? Ale stejně jsme si už asi zvykli.
Jsme tak nějak zvyklí na to, že Windows jsou plné chyb a každým dnem se odhalují nové. Na bezpečnostní konferenci Black Hat byla nyní prezentována chyba v aktualizačním procesu, která umožní útočníkovi systém vrátit na předchozí verzi. To znamená, že se vrátí i chyby, které byly v nové verzi opraveny. Záškodník vytvoří seznam akcí pro downgrade a vetře je do systémového registru. To obejde službu „Trusted Installer“, která spravuje soubory, instalace programů a aktualizací. Do složky pro Windows Update nemá uživatel přístup, ale systém si myslí, že seznam akcí je v pořádku a tak „aktualizaci“ provede. Pak následuje změna systému tak, aby se už sám neaktualizoval.
Poté přijde útok na VBS (Virtualization-Based Security). Toto izolované prostředí spouští kritické bezpečnostní procesy, ukládá citlivá data a není přímo přístupné jádru ani jiným uživatelům počítače. To bylo ošáleno podstrčením vadných souborů do bezpečnostního jádra (kernel security), které si VBS očuchalo a když byl soubor neplatný, OS normálně naběhl a VBS nebylo spuštěné. Pak bylo možno vrátit zpět další důležité součásti OS až do stavu, kdy výzkumník – domnělý útočník – získal práva doslova ke všemu (hypervisor). Sice stále na začátek potřebuje práva admina, ale jak je dostane, systém vám už nepatří. A nakonec, v celém downgrade kolečku nebyla ani jedna brzda, kde by si systém řekl „tak počkat, tohle smrdí“. Hezké.
