Windows tem falha que permite remover as atualizações do sistema operacional

Falha em componente do Windows Update permite que atualizações do sistema operacional sejam revertidas, fazendo brechas corrigidas ressurgirem

Emerson Alecrim

O Windows Update é o serviço que atualiza o sistema operacional para, entre outros motivos, corrigir falhas de segurança. Mas, e se o próprio Windows Update estiver vulnerável? Essa situação é real: uma falha no serviço permite que um agente externo remova as atualizações do Windows.

Downgrade de atualizações do Windows

A falha foi descoberta por Alon Leviev, da SafeBreach Labs, e abordada na edição mais recente da conferência Black Hat, em Las Vegas. A Microsoft já está ciente da situação e trabalha em uma solução. Mas o problema é complexo e, portanto, exige um trabalho minucioso para ser corrigido.

Pode até parecer que a vulnerabilidade não é grave, afinal, qual o sentido de remover atualizações do sistema operacional? Bom, esse downgrade simplesmente faz brechas de segurança já corrigidas ressurgirem. É como remover os tijolos colocados para tampar o buraco de uma parede.

De acordo com Alon Leviev, a vulnerabilidade permite a remoção de todas as atualizações do Windows ou de componentes específicos do sistema operacional. Mas como?

Como o problema ocorre

Leviev explicou que a instalação de atualizações do Windows envolve a criação de uma lista de ações necessárias para o procedimento. Ali estão a relação de arquivos que serão atualizados e onde os pacotes de updates serão armazenados, por exemplo.

Leviev descobriu que uma das chaves que controlam a lista de ações não é bloqueada. A partir dessa brecha, o pesquisador conseguiu manipular a lista para fazer downgrades nas atualizações do Windows.

Por meio dessa abordagem, Leviev pôde remover versões atualizadas de drivers, arquivos DLL e até de componentes do kernel (o núcleo do sistema operacional). Tudo isso foi feito sem que os mecanismos de proteção do Windows detectassem anomalias.

A falha afeta os Windows 10, 11 e Server, bem como os recursos de virtualização desses sistemas. O vídeo a seguir contém uma demonstração do problema:

Microsoft já está ciente do problema

A SafeBreach Labs avisou a Microsoft sobre a vulnerabilidade em fevereiro de 2024. Por sua vez, a Microsoft vem trabalhando em uma correção, mas, dada a complexidade do problema, ainda não definiu uma data exata para a sua liberação pública.

Felizmente, não há relatos de que o problema já tenha sido explorado para ações maliciosas. O fato de, pelo menos até o momento, não haver meios de exploração remota da vulnerabilidade parece diminuir a gravidade do problema.

De todo modo, a Microsoft deu a seguinte declaração à Wired a respeito da falha:

Nós estamos desenvolvendo ativamente mitigações de proteção contra esses riscos enquanto executamos um processo extensivo envolvendo investigação completa, desenvolvimento de atualização em todas as versões afetadas e testes de compatibilidade, para garantir proteção máxima ao cliente com interrupção operacional minimizada.

Leia | Como desinstalar uma atualização do Windows 10 e 11

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.