Lỗ hổng cho phép tin tặc hạ cấp phiên bản Windows để tấn công

Tại hội nghị bảo mật Black Hat USA 2024 và DEF CON 32, chuyên gia nghiên cứu Alon Leviev đã công bố nghiên cứu về công cụ khai thác lỗ hổng này mang tên Windows Downdate. Lỗ hổng tồn tại trong quá trình cập nhật hệ điều hành Windows, do dó, tin tặc có thể kiểm soát hoàn toàn quá trình này, trong đó bao gồm cả việc hạ cấp phiên bản Windows. Bằng cách khai thác quyền truy cập vào các thành phần quan trọng của hệ điều hành, tin tặc có thể khiến máy tính báo cáo là đã được cập nhật đầy đủ, từ đó qua mặt các công cụ quét và khôi phục.

Đáng chú ý là lỗ hổng còn cho phép tin tặc vô hiệu hóa các tính năng bảo mật dựa trên ảo hóa của Windows, ngay cả khi chúng được bảo vệ bằng khóa UEFI Secure Boot và thậm chí trích xuất thông tin đăng nhập nhạy cảm, ngay cả khi đã kích hoạt các tính năng bảo vệ như Credential Guard và Windows Defender. Điều này mở đường cho các cuộc tấn công leo thang đặc quyền và đánh cắp thông tin nhạy cảm.

Microsoft đã xác nhận lỗ hổng này và đang nỗ lực phát triển các biện pháp để ngăn chặn tin tặc khai thác lỗ hổng. Tuy nhiên, việc vá lỗi sẽ phức tạp và mất nhiều thời gian. Hiện tại, Microsoft chưa ghi nhận bất kỳ trường hợp khai thác lỗ hổng này trong thực tế. Tuy nhiên, người dùng Windows được khuyến cáo nên kiểm tra, cập nhật hệ thống thường xuyên và cảnh giác với các hoạt động đáng ngờ để bảo vệ máy tính khỏi các cuộc tấn công mạng.

Chuyên gia Alon Leviev cũng đưa ra một số khuyến nghị để giúp các hệ điều hành giảm thiểu nguy cơ bị tấn công hạ cấp. Theo đó, các tổ chức, cá nhân có thể nghiên cứu và triển khai các biện pháp bảo mật nhằm kiểm tra và ngăn chặn việc hạ cấp các thành phần quan trọng của hệ điều hành, xem xét lại tất cả các tính năng, kể cả những tính năng cũ, như những mục tiêu có khả năng bị tấn công.