Ny forskning avslører kritiske sårbarheter i Windows Update som kan tillate angripere å tilbakestille sikkerhetsoppdateringer, og dermed gjøre tidligere løste sårbarheter utnyttbare igjen, skriver Extreme Tech.

På Black Hat 2024 presenterte forskeren Alon Leviev fra SafeBreach to null-dagssårbarheter, CVE-2024-38202 og CVE-2024-21302, som kan utnyttes til å «oppdatere» fullt oppdaterte systemer som kjører Windows 10, 11 eller Windows Server. Dette innebærer at trusselaktører kan tvinge systemer til å gå tilbake til eldre versjoner av programvaren, og dermed reintrodusere sårbarheter som tidligere var blitt fikset.

Leviev demonstrerte hvordan Windows Update-prosessen kan manipuleres til å nedgradere kritiske systemkomponenter, inkludert dynamiske lenkebiblioteker (DLLer) og NT-kjernen. Selv om disse komponentene er utdatert, rapporterer operativsystemet at det er fullt oppdatert, noe som gjør det vanskelig for gjenopprettings- og skanneverktøy å oppdage problemene. Sårbarhetene kan også utnyttes til å deaktivere funksjoner som Credential Guard og Hyper-V's hypervisor.

Microsoft jobber med å utvikle en sikkerhetsoppdatering for å dempe denne trusselen, men det er foreløpig ikke tilgjengelig. Inntil da anbefaler de at brukere begrenser tilgangen til Backup- og Restore-operasjoner til kun nødvendige brukere og implementerer tilgangskontroller for å beskytte systemene.