Falha no Windows permite realizar downgrade invisível do sistema
As atualizações do Windows servem, por norma, para instalar as mais recentes versões do sistema operativo, que podem conter correções para falhas recentes e outras vulnerabilidades. No entanto, foi recentemente descoberto que existe uma forma de realizar o “downgrade” destas atualizações por malware.
O investigador Alon Leviev revelou uma forma de realizar a remoção de atualizações do Windows, permitindo voltar a versões antigas do sistema, o que pode abrir portas para que falhas anteriormente corrigidas voltem a ficar disponíveis para ataques.
Basicamente, o ataque começa por levar o sistema operativo a realizar a remoção de atualizações recentes do mesmo, voltando para uma versão anterior. Isto abre portas para que falhas anteriormente corrigidas voltem a ficar acessíveis, e possam assim ser exploradas pelo malware ou atacantes para os mais variados fins.
O investigador revelou ter descoberto formas de realizar o downgrade de alguns dos componentes chave do sistema, incluindo do próprio kernel do Windows. Os componentes continuariam a reportar ao sistema estar na sua mais recente versão, mas não estariam verdadeiramente.
Segundo o investigador, este ataque é bastante eficaz, pois é capaz de contornar a maioria dos programas de segurança. Estes programas não são capazes de identificar estarem numa versão anterior do Windows como sendo algo “malicioso”, e para todos os efeitos, o próprio Windows considera que se encontra com as versões mais recentes dos ficheiros – apesar de não estar. Isto torna o ataque praticamente impossível de identificar pelos meios tradicionais.
Um sistema pode ser comprometido desta forma sem que os utilizadores se apercebam, abrindo portas para que falhas antigas possam ser exploradas, sobretudo falhas zero-day.
O investigador revelou ter notificado a Microsoft desta falha em Fevereiro, mas até ao momento, ainda não foi fornecida uma correção por parte da empresa para evitar tal situação. A empresa indica, no entanto, que ainda se encontra a tratar de disponibilizar uma correção que iria impedir este formato de ataque, embora até ao momento ainda não tenha sido oficialmente disponibilizada.