Na Conferência Black Hat USA de 2024, o pesquisador SafeBreach Alon Leviev apresentou um ataque que manipula um arquivo XML de lista de ações para enviar uma ferramenta “Windows Downdate” que ignora todas as etapas de verificação do Windows e o Instalador confiável. A ferramenta também pode manipular o Windows para confirmar se o sistema está totalmente atualizado.

O processo de atualização do Windows foi comprometido antes. Lançado em 2023, o BlackLotus UEFI Bootkit inclui recursos de downgrade que utilizam vulnerabilidades na arquitetura do Windows Update. Semelhante ao método apresentado por Leviev, o BlackLotus Bootkit faz o downgrade de vários componentes do sistema para contornar os bloqueios VBS UEFI. Um agente de ameaça pode então usar ataques de “dia zero” de escalonamento de privilégios em um sistema previamente atualizado. Em uma postagem no blog sobre SafeBreach, Leviev afirmou “Descobri várias maneiras de desabilitar a segurança baseada em virtualização (VBS) do Windows, incluindo seus recursos como Credential Guard e integridade de código protegido por hipervisor (HVCI), mesmo quando aplicado com bloqueios UEFI. Que eu saiba, esta é a primeira vez que os bloqueios UEFI da VBS foram contornados sem acesso físico.”

Leviev informou a Microsoft sobre as vulnerabilidades em fevereiro deste ano. No entanto, a Microsoft ainda está desenvolvendo uma atualização de segurança para revogar sistemas VBS desatualizados e sem correção. A Microsoft também planeja lançar um guia para “fornecer aos clientes mitigações ou orientações relevantes de redução de risco assim que estiverem disponíveis”. Orientações são necessárias porque, segundo Leviev, esses ataques são indetectáveis ​​e invisíveis. Para saber mais ou ver a exploração em ação, visite os recursos abaixo.