اكتشف الباحث الأمني ألون ليفي من شركة SafeBreach ثغرة أمنية في Windows Update تسمح للمهاجمين بخفض مستوى نظام Windows الآمن فعليًا وجعله عرضة للخطر. يُعرف هذا باسم هجوم تخفيض المستوى.
قدم ليفي هذه الثغرة الأمنية المخيفة في مؤتمر Black Hat 2024 للأمن. ووفقًا لموقع BleepingComputer، فإن أنظمة التشغيل Windows 10 وWindows 11 وWindows Server كلها معرضة للخطر.
من خلال هذه الثغرة الأمنية، يستطيع المهاجم إلغاء تثبيت تحديثات الأمان التي تم تثبيتها بالفعل على نظام Windows لفتح ثغرات أمنية قديمة تم إصلاحها. في الواقع، يقوم المهاجم بإعادة نظام Windows المحدث إلى إصدار أقدم به ثغرات.
متعلق ب: 7 علامات تحذيرية تشير إلى تعرض جهاز الكمبيوتر الخاص بك للاختراق
إنه سيناريو مرعب لكل مستخدمي Windows الذين يحرصون على تحديث نظام Windows الخاص بهم بانتظام ويشعرون بالأمان.
وفقًا لمدونة تكنولوجيا المعلومات Borncity، كانت Microsoft على علم بهذه الثغرة الأمنية منذ فبراير 2024 لكنها لم تفعل أي شيء حيالها حتى الآن. ومع ذلك، تعمل Microsoft حاليًا على تصحيح المشكلة؛ وحتى ذلك الحين، نشرت الشركة CVE-2024-38202 وCVE-2024-21302، والتي توضح كيفية الحد من الضرر حتى يتم إصدار إصلاح.
كيف يعمل هجوم تخفيض الإصدار؟
يمكن للمتسلل استغلال هذا الخلل للسيطرة الكاملة على عملية التحديث واختراق نظام Windows، والذي قد يكون آمنًا لأنه تم تصحيحه بشكل كافٍ.
على وجه التحديد، يسمح الخلل للمهاجم بتحديث ملفات DLL معينة وبرامج التشغيل ونواة NT إلى إصدار أقدم مما يجعلها عرضة مرة أخرى للمشكلات التي تم إصلاحها مسبقًا.
ولكن هذا ليس كل شيء، كما كتب خبير الأمن:
“ثم استهدفنا مستوى أعلى، ووجدنا أن مجموعة المحاكاة الافتراضية بأكملها معرضة للخطر أيضًا. لقد نجحنا في تخفيض مستوى برنامج Hyper-V's hypervisor، وSecure Kernel، وعملية Credential Guard's Isolated User Mode للكشف عن ثغرات تصعيد الامتيازات السابقة.
علاوة على ذلك، اكتشفنا طرقًا متعددة لتعطيل الأمان القائم على المحاكاة الافتراضية (VBS)، بما في ذلك ميزاته مثل Credential Guard وHypervisor-Protected Code integrity (HVCI)، حتى عند فرضه باستخدام أقفال UEFI. وعلى حد علمنا، هذه هي المرة الأولى التي يتم فيها تجاوز أقفال UEFI الخاصة بـ VBS دون الوصول المادي.
ومع ذلك، نظرًا لأن Windows نفسه لا يزال يبلغ عن تحديثه، فإن أدوات الأمان لا تتعرف حاليًا على المشكلة – والأسوأ من ذلك، أن Windows لن يقوم بتثبيت التحديثات المستقبلية.
وفقًا لمايكروسوفت، لا توجد حاليًا أي محاولات معروفة لاستغلال هذه الثغرة الأمنية. وتنصح مايكروسوفت المستخدمين بتنفيذ التوصيات الواردة في ملاحظاتها الأمنية لتقليل مخاطر الاستغلال حتى تصدر مايكروسوفت تحديثًا أمنيًا رسميًا.
ظهرت هذه المقالة أصلا في مطبوعتنا الشقيقة PC-WELT وتم ترجمتها وتوطينها من الألمانية.