O pesquisador de segurança Alon Levie, da SafeBreach, descobriu duas vulnerabilidades no Windows Update. Sua exploração permite que você faça o downgrade do sistema operacional para desfazer os patches de segurança aplicados, a fim de explorar posteriormente vulnerabilidades conhecidas para ataques. O problema afeta o Windows 11, Windows 10 e Windows Server.
Usando essas vulnerabilidades, um invasor pode remover atualizações de segurança baixadas anteriormente de um dispositivo Windows para poder explorar vulnerabilidades antigas que já foram corrigidas. Na verdade, um invasor pode “reverter” o sistema operacional atualizado para uma versão mais antiga, na qual as vulnerabilidades já corrigidas permanecem relevantes.
Esta notícia é desagradável para os usuários do Windows que atualizam regularmente seu sistema operacional e instalam os patches de segurança mais recentes. Segundo a fonte, a Microsoft está ciente do problema mencionado desde fevereiro de 2024, mas até o momento a gigante do software não lançou correções para essas vulnerabilidades. Sabe-se que a Microsoft está trabalhando em uma correção e também divulgou alguns detalhes sobre CVE-2024-38202 e CVE-2024-21302 que ajudarão a limitar danos potenciais enquanto ainda não houver um patch oficial.
Em última análise, as vulnerabilidades mencionadas podem dar a um invasor controle total sobre o processo de atualização para fazer downgrade de componentes críticos do Windows, como bibliotecas de vínculo dinâmico (DLLs) e o kernel do NT. O pesquisador também descobriu que toda a pilha de virtualização estava em risco. Ele conseguiu fazer o downgrade do hipervisor Hyper-V, Secure Kernel e Credential Guard. Tudo isso permite utilizar vulnerabilidades previamente fechadas para comprometer o sistema. Ao mesmo tempo, ao verificar o Windows Update, o próprio sistema parece ainda estar atualizado para a versão atual.
De acordo com a Microsoft, atualmente não há evidências de que as vulnerabilidades do Windows Update tenham sido usadas em ataques de hackers reais. Ainda não se sabe quando exatamente um patch será lançado para corrigir o problema.