Ataque de downgrade en actualizaciones de Windows

Un investigador de seguridad de SafeBreach Alon Leviev, durante el Black Hat 2024 reveló que dos vulnerabilidades Zero Day podrían ser explotadas mediante ataques de downgrade para eliminar actualizaciones de parches en sistemas Windows 10, Windows 11 y Windows Server, reintroduciendo vulnerabilidades antiguas. Por su parte Microsoft emitió avisos sobre estas vulnerabilidades no corregidas (CVE-2024-38202 y CVE-2024-21302), proporcionando consejos de mitigación hasta que se libere una solución.

CVE-2024-38202 (CVSS 7.3): Vulnerabilidad de elevación de privilegios en Windows Backup. Un atacante con privilegios de usuario básico puede revertir parches de seguridad previamente aplicados o evadir las características de Seguridad Basada en Virtualización (VBS).

CVE-2024-21302 (CVSS 6.7): Vulnerabilidad de elevación de privilegios que afecta a sistemas Windows con VBS. Permite a los atacantes con privilegios de administrador reemplazar archivos del sistema de Windows con versiones desactualizadas y vulnerables.

.

Productos afectados:

  • Windows 10.
  • Windows 11.
  • Windows Server.

.

Solución:

Microsoft está desarrollando una actualización que revocará archivos del sistema VBS obsoletos y no parchados para mitigar el ataque. Sin embargo, esta actualización llevará tiempo debido al gran número de archivos que se verán afectados.

.

Recomendaciones:

  • Implementar las recomendaciones de las asesorías de seguridad publicadas por Microsoft hasta que se libere una actualización.
  • Mantener vigilado el estado de seguridad de los sistemas y aplicar parches de seguridad en cuanto estén disponibles.
  • Estar al tanto de futuras actualizaciones y advertencias de seguridad relacionadas con vulnerabilidades de Windows para minimizar el riesgo de explotación.

.

Referencias: