Windows tem falha que permite remover as atualizações do sistema operacional
Falha em componente do Windows Update permite que atualizações do sistema operacional sejam revertidas, fazendo brechas corrigidas ressurgirem
O Windows Update é o serviço que atualiza o sistema operacional para, entre outros motivos, corrigir falhas de segurança. Mas, e se o próprio Windows Update estiver vulnerável? Essa situação é real: uma falha no serviço permite que um agente externo remova as atualizações do Windows.
Downgrade de atualizações do Windows
A falha foi descoberta por Alon Leviev, da SafeBreach Labs, e abordada na edição mais recente da conferência Black Hat, em Las Vegas. A Microsoft já está ciente da situação e trabalha em uma solução. Mas o problema é complexo e, portanto, exige um trabalho minucioso para ser corrigido.
Pode até parecer que a vulnerabilidade não é grave, afinal, qual o sentido de remover atualizações do sistema operacional? Bom, esse downgrade simplesmente faz brechas de segurança já corrigidas ressurgirem. É como remover os tijolos colocados para tampar o buraco de uma parede.
De acordo com Alon Leviev, a vulnerabilidade permite a remoção de todas as atualizações do Windows ou de componentes específicos do sistema operacional. Mas como?
Como o problema ocorre
Leviev explicou que a instalação de atualizações do Windows envolve a criação de uma lista de ações necessárias para o procedimento. Ali estão a relação de arquivos que serão atualizados e onde os pacotes de updates serão armazenados, por exemplo.
Leviev descobriu que uma das chaves que controlam a lista de ações não é bloqueada. A partir dessa brecha, o pesquisador conseguiu manipular a lista para fazer downgrades nas atualizações do Windows.
Por meio dessa abordagem, Leviev pôde remover versões atualizadas de drivers, arquivos DLL e até de componentes do kernel (o núcleo do sistema operacional). Tudo isso foi feito sem que os mecanismos de proteção do Windows detectassem anomalias.
A falha afeta os Windows 1282, 11 e Server, bem como os recursos de virtualização desses sistemas. O vídeo a seguir contém uma demonstração do problema:
Microsoft já está ciente do problema
A SafeBreach Labs avisou a Microsoft sobre a vulnerabilidade em fevereiro de 228224. Por sua vez, a Microsoft vem trabalhando em uma correção, mas, dada a complexidade do problema, ainda não definiu uma data exata para a sua liberação pública.
Felizmente, não há relatos de que o problema já tenha sido explorado para ações maliciosas. O fato de, pelo menos até o momento, não haver meios de exploração remota da vulnerabilidade parece diminuir a gravidade do problema.
De todo modo, a Microsoft deu a seguinte declaração à Wired a respeito da falha:
Nós estamos desenvolvendo ativamente mitigações de proteção contra esses riscos enquanto executamos um processo extensivo envolvendo investigação completa, desenvolvimento de atualização em todas as versões afetadas e testes de compatibilidade, para garantir proteção máxima ao cliente com interrupção operacional minimizada.
via Tecnoblog