أداة جديدة تهدد أمان أنظمة ويندوز: “داون ديت” تتيح إلغاء التحديثات
أطلق الباحث الأمني آلون ليفييف أداة جديدة تُعرف باسم “ويندوز داون ديت”، التي تستخدم في تنفيذ هجمات “خفض النسخة” على أنظمة تشغيل ويندوز، بما في ذلك ويندوز 10 و11 وخوادم ويندوز. تسمح هذه الأداة بإعادة تشغيل الثغرات القديمة في هذه الأنظمة، مما يهدد أمانها.
الأداة متاحة على منصة GitHub كمشروع مفتوح المصدر مبني على لغة بايثون، بالإضافة إلى ملف تنفيذي مسبق التجهيز لنظام ويندوز. وقد استعرض ليفييف بعض الاستخدامات العملية للأداة، حيث تمكن من إلغاء تحديثات مكونات هامة مثل Hyper-V ونواة ويندوز وتحديثات NTFS.
الجدير بالذكر أن “ويندوز داون ديت” توفر ميزة استعادة التحديثات المرتبطة بعدد من الثغرات الأمنية المهمة مثل CVE-2021-27090 وCVE-2022-34709 وCVE-2023-21768.
استغلال الثغرات الأمنية بشكل خفي
كشف ليفييف خلال مؤتمر “Black Hat 2024” عن أساليب استخدام الأداة، مشيراً إلى أنها تستخدم ثغرات CVE-2024-21302 وCVE-2024-38202، مع التشديد على أن استخدام الأداة يتم بشكل مخفي، مما يجعل من الصعب اكتشاف العملية عبر الحلول الأمنية المعتمدة عليها.
وأضاف ليفييف أنه تمكن من تجاوز تدابير الأمان التي تعتمد على التمثيل الافتراضي في ويندوز، حتى بتطبيق قيود UEFI، مما أتاح له إعادة تشغيل أنظمة ويندوز بشكل كامل، مما جعلها عرضة لآلاف الثغرات القديمة واعتبار الحالة “محدثة بالكامل” غير ذات معنى.
فرص تحسن الأمان بعد الثغرات الجديدة
رغم أن شركة مايكروسوفت أصدرت تحديثاً لتصحيح ثغرات CVE-2024-21302، إلا أنها لم تصدر بعد حلاً للثغرة الثانية. وتوصي الشركة عملاءها بتطبيق إجراءات الأمان المقترحة من أجل مكافحة هجمات خفض النسخة، والتي تشمل إعدادات “تدقيق الوصول إلى كائنات”، وتحديد عمليات التحديث، واستخدام قوائم التحكم في الوصول، بالإضافة إلى تدقيق الامتيازات لاكتشاف محاولات استغلال الثغرات الأمنية.