Kerentanan Windows Update Mendedahkan Sistem kepada Ancaman Keselamatan Lama
Satu kelemahan keselamatan yang membimbangkan dalam Microsoft Windows telah ditemui, membolehkan penyerang mengeksploitasi proses kemas kini dan menurunkan taraf komponen sistem kritikal kepada versi yang terdedah. Kerentanan "Windows Downdate" ini secara efektif membatalkan tampalan keselamatan, berpotensi mendedahkan sistem kepada ribuan kerentanan lama.
 |
|---|
| Perwakilan grafik logo Windows menyoroti kerentanan dalam sistem Windows Update yang boleh mendedahkan sistem kepada ancaman keselamatan masa lalu |
Perkara Utama:
- Penyelidik Alon Leviev dari SafeBreach mendemonstrasikan eksploitasi ini di Black Hat USA 2024
- Kelemahan ini membolehkan langkah-langkah pengesahan Windows Update dan penguatkuasaan Trusted Installer dilangkau
- Penyerang boleh menurunkan taraf pemacu, fail DLL, dan bahkan kernel NT tanpa dikesan
- Keseluruhan tindanan virtualisasi berisiko, termasuk Secure Kernel dan hypervisor Hyper-V
- Keselamatan berasaskan virtualisasi boleh dilumpuhkan, walaupun dikuatkuasakan oleh kunci UEFI
 |
|---|
| Dengan mengambil kira demonstrasi keselamatan yang berpotensi, simbol amaran menekankan kepentingan mendesak dalam menangani kelemahan Windows Downdate |
Bagaimana Ia Berfungsi
Serangan ini melibatkan penghasilan senarai tindakan penurunan taraf yang ditambah ke dalam registry Windows. Dengan menamakan semula folder fail, ia melangkau keselamatan berasaskan virtualisasi (VBS) dan menipu sistem untuk menerima fail sistem lama yang terdedah. Ini menjadikan penurunan taraf berniat jahat kelihatan seperti kemas kini yang sah, menjadikannya tidak dapat dikesan oleh alat keselamatan standard.
Kesan Meluas
Kerentanan ini menjejaskan semua versi Windows semasa, termasuk sistem Windows 11 yang telah dikemas kini sepenuhnya. Ia berpotensi mendedahkan mesin kepada kerentanan yang dianggap telah diselesaikan, secara efektif membatalkan konsep sistem yang dikemas kini sepenuhnya sehingga pembetulan dilaksanakan.
Tindak Balas Microsoft
Microsoft telah mengakui kerentanan ini, memberikannya CVE-2024-38202 dan CVE-2024-21302. Syarikat ini sedang bekerja untuk mengurangkan kesan, tetapi pembetulan menyeluruh mungkin mengambil masa kerana sifat kompleks kelemahan reka bentuk yang menjejaskan pelbagai sub-program.
Implikasi Lebih Luas
Leviev mencadangkan bahawa jenis kerentanan ini mungkin tidak terhad kepada Windows dan berpotensi menjejaskan sistem operasi lain juga. Beliau menggesa vendor dan penyelidik untuk meneroka vektor serangan baru untuk mencegah kerentanan serupa pada masa hadapan.
Apa Yang Boleh Dilakukan Oleh Pengguna
Walaupun tiada eksploitasi dalam dunia sebenar telah diperhatikan setakat ini, pengguna dan organisasi harus berwaspada dan memastikan mereka menggunakan kemas kini keselamatan dengan segera sebaik sahaja Microsoft mengeluarkan pembetulan. Sementara itu, adalah penting untuk mengekalkan amalan keselamatan keseluruhan yang kukuh dan memantau sistem untuk sebarang aktiviti luar biasa.
Penemuan ini menyerlahkan cabaran berterusan dalam mengekalkan langkah-langkah keselamatan siber yang kukuh, walaupun dalam sistem operasi yang digunakan secara meluas dan dikemas kini secara berkala. Ia berfungsi sebagai peringatan tentang kepentingan penyelidikan keselamatan berterusan dan keperluan vendor sistem operasi untuk menangani bukan sahaja kerentanan individu, tetapi keseluruhan kelas serangan yang berpotensi.