قد تأتي تحديثات Windows أحيانًا بنتائج عكسية مع وجود تصحيحات معيبة، ولكن في الغالب، الغرض منها هو حمايتنا من أحدث التهديدات. تقوم Microsoft بانتظام بإصدار تصحيحات جديدة تعالج نقاط الضعف المحتملة. ولكن ماذا لو كانت هناك أداة يمكنها إلغاء كل تحديثات Windows وترك جهاز الكمبيوتر الخاص بك معرضًا لجميع التهديدات التي اعتقدت Microsoft أنها قامت بإصلاحها بالفعل؟ الخبر السيئ: توجد الآن مثل هذه الأداة، وتسمى Windows Downdate.
لا تقلق، فأنت في مأمن من أداة Windows Downdate — على الأقل في الوقت الحالي. تم تطوير الأداة كدليل على المفهوم بواسطة الباحث في SafeBreach ألون ليفييف، ورغم أن إمكاناتها لا تقل عن كونها مرعبة، فقد تم إنشاؤها بحسن نية كمثال على ما يسمى “القرصنة البيضاء”، حيث يحاول الباحثون العثور على نقاط الضعف قبل أن يتمكن الجناة الخبيثون من القيام بذلك أولاً.
في حالة Windows Downdate، إذا وقع هذا في الأيدي الخطأ، فقد يكون التأثير مذهلاً. يعتمد الاستغلال على خلل في Windows Update لتثبيت التحديثات القديمة حيث لم يتم إصلاح بعض الثغرات الأمنية بعد. استخدم Leviev الأداة لخفض مستوى مكتبات الارتباط الديناميكي (DLL) وبرامج التشغيل وحتى نواة NT، وهي مكون أساسي في Windows. يتم تحقيق ذلك أثناء تجاوز جميع عمليات التحقق، والنتيجة غير مرئية تمامًا ولا يمكن الرجوع فيها.
“لقد تمكنت من جعل جهاز كمبيوتر يعمل بنظام Windows مُصحَّح بالكامل عرضة لآلاف الثغرات الأمنية السابقة، وتحويل الثغرات الأمنية الثابتة إلى ثغرات أمنية لا يمكن اختراقها، وجعل مصطلح “مُصحَّح بالكامل” بلا معنى على أي جهاز كمبيوتر يعمل بنظام Windows في العالم”، كما قال ليفييف في منشور على SafeBreach. “بعد هذه التخفيضات، أبلغ نظام التشغيل أنه تم تحديثه بالكامل ولم يتمكن من تثبيت التحديثات المستقبلية، في حين لم تتمكن أدوات الاسترداد والفحص من اكتشاف المشكلات”.
كما اكتشف ليفيف أن مجموعة المحاكاة الافتراضية بأكملها في نظام التشغيل Windows كانت أيضًا عرضة لهذا الاستغلال؛ وتمكن الباحث من تخفيض مستوى عملية وضع المستخدم المعزولة في Credential Guard، ومشرف Hyper-V، وSecure Kernel. حتى أن ليفيف وجد “طرقًا متعددة” لإيقاف تشغيل الأمان القائم على المحاكاة الافتراضية (VBS) في نظام التشغيل Windows، وكان هذا لا يزال ممكنًا حتى عند فرض أقفال UEFI.
وقال ليفييف: “على حد علمي، هذه هي المرة الأولى التي يتم فيها تجاوز أقفال UEFI الخاصة بـ VBS دون الوصول المادي”.
يمكن لبرنامج Windows Downdate إلغاء كل تصحيح أمني تم إنشاؤه على الإطلاق، ثم خداع الكمبيوتر الشخصي ليعتقد أن كل شيء على ما يرام من خلال تعريضه لمئات التهديدات المختلفة. يمكن لأداة مثل هذه أن تسبب دمارًا خطيرًا لأي نظام تشغيل، ويشتبه ليفييف في أن أنظمة التشغيل الأخرى، مثل MacOS وLinux، قد تكون معرضة للخطر أيضًا.
الخبر السار هو أن ليفيف كان ينوي حماية مستخدمي ويندوز من أداة مثل هذه، وأبلغ الباحث مايكروسوفت بنتائجه في فبراير 2024. وأصدرت مايكروسوفت تحديثين للثغرات الأمنية (CVE-2024-21302 وCVE-2024-38202) ردًا على ذلك ويبدو أنها تعمل بجد لإصلاح هذه الثغرة الأمنية. دعونا نأمل أن تكون مايكروسوفت أسرع في إصلاح هذه الثغرة الأمنية من أن يستغلها المتسللون غير الأخلاقيين لمصلحتهم الخاصة.