{"id":7106,"date":"2024-08-29T13:52:14","date_gmt":"2024-08-29T11:52:14","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7106"},"modified":"2024-08-29T13:52:14","modified_gmt":"2024-08-29T11:52:14","slug":"windows-downgrade-napad","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/","title":{"rendered":"Windows Downgrade napad"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Windows Downgrade<\/em> napad je sigurnosnoj sajber zajednici <a href=\"https:\/\/www.safebreach.com\/blog\/downgrade-attacks-using-windows-updates\/\" target=\"_blank\" rel=\"noopener\">predstavio sigurnosni istra\u017eiva\u010d <em>Alon<\/em> <em>Leviev<\/em> iz kompanije <em>SafeBreach<\/em> <em>Labs<\/em><\/a>. Kako je <em>Windows<\/em> <em>Update<\/em> je kriti\u010dna komponenta svakog <em>Windows<\/em> ure\u0111aja, odgovorna za isporuku osnovnih bezbjednosnih a\u017euriranja i ispravki, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010d<\/a> je otkrio da bi se ova funkcionalnost mogla koristi kao vektor napada za degradaciju operativnog sistema na ranjive verzije.<\/span><\/p>\n<div id=\"attachment_7097\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7097\" class=\"size-full wp-image-7097\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/Windows-Downgrade-Attack.jpg\" alt=\"Windows Downgrade\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/Windows-Downgrade-Attack.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/Windows-Downgrade-Attack-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/Windows-Downgrade-Attack-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/Windows-Downgrade-Attack-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/Windows-Downgrade-Attack-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/Windows-Downgrade-Attack-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/Windows-Downgrade-Attack-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7097\" class=\"wp-caption-text\"><em>Windows Downgrade napad; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/#WINDOWS_DOWNGRADE_NAPAD\">WINDOWS DOWNGRADE NAPAD<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/#Windows_Update_arhitektura\">Windows Update arhitektura<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/#Metodologija_Windows_Downgrade_napada\">Metodologija Windows Downgrade napada<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/#Istrazivanje\">Istra\u017eivanje<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/#CVE-2024-38202\">CVE-2024-38202<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/#CVE-2024-21302\">CVE-2024-21302<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/29\/windows-downgrade-napad\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"WINDOWS_DOWNGRADE_NAPAD\"><\/span><strong><em>WINDOWS<\/em> <em>DOWNGRADE<\/em> NAPAD<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Microsoft<\/em> <em>Windows<\/em> operativni sistem je jedna od naj\u010de\u0161\u0107e kori\u0161tenih desktop platformi \u0161irom sveta. Da bi osigurala da njeni korisnici ostanu za\u0161ti\u0107eni od novih prijetnji, kompanija <em>Microsoft<\/em> objavljuje mjese\u010dne bezbjednosne ispravke, kao i vanredne ispravke kada se nove ranjivosti aktivno iskori\u0161\u0107avaju u digitalnom prostoru. Ove ispravke rje\u0161avaju razli\u010dite probleme i pru\u017eaju su\u0161tinska bezbjednosna pobolj\u0161anja kako bi sistemi bili sigurni.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, degradacija (eng. <em>downgrading<\/em>) \u2013 proces deinstaliranja ili vra\u0107anja a\u017euriranja \u2013 mo\u017ee se zlonamjerno koristiti za uklanjanje kriti\u010dnih bezbjednosnih ispravki iz operativnog sistema. Ovo ne samo da izla\u017ee korisnike poznatim ranjivostima, ve\u0107 i pretvara fiksne ranjivosti u ranjivosti <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/zero-day\/\" target=\"_blank\" rel=\"nofollow noopener\">nultog dana<\/a>, \u0161to stvara opasnu situaciju za organizacije i pojedince da odr\u017eavaju a\u017eurne sisteme.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Koncept \u201c<em>savr\u0161enog<\/em>\u201d napada na degradairanu verziju <em>Windows<\/em> operativnog sistema nije nov. Inspirisan je <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/04\/blacklotus-zaobilazi-windows-secure-boot\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>BlackLotus<\/em> <em>UEFI<\/em> <em>bootkit<\/em> zlonamjernima alatom<\/a> koji je uspje\u0161no zaobi\u0161ao <em>UEFI<\/em> <em>Secure<\/em> <em>Boot<\/em> i onemogu\u0107io razli\u010dite bezbjednosne mehanizme kao \u0161to su <em>BitLocker<\/em>, Hypervisor-<em>Protected<\/em> <em>Code<\/em> <em>Integrity<\/em> \u2013 <em>HVCI<\/em> i <em>Windows<\/em> <em>Defender<\/em>. U ovom slu\u010daju, sigurnosni istra\u017eiva\u010d <em>Alon<\/em> <em>Leviev<\/em> se fokusirao na pronala\u017eenje na\u010dina da se manipuli\u0161e naizgled bezazlenim procesom <em>Windows<\/em> <em>Update<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Windows_Update_arhitektura\"><\/span><strong><em>Windows<\/em> <em>Update <\/em>arhitektura<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kako bi se razumjeli potencijalni rizici sa degradacijom na stariju verziju operativnog sistema <em>Windows<\/em>, prvo je potrebno dobro razumijevanje osnovne arhitekture ovog procesa. Procesom <em>Windows<\/em> <em>Update<\/em> upravlja nekoliko komponenti koje rade zajedno:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\"><em>WUAUENG.dll<\/em> (<em>Windows Update Agent<\/em>): Ova komponenta upravlja i pokre\u0107e a\u017euriranja na strani klijenta. Komunicira sa <em>Microsoft<\/em> serverima za a\u017euriranje radi preuzimanja i instaliranja novih paketa,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Catroot2<\/em>: Direktorijum koji sadr\u017ei razli\u010dite konfiguracione datoteke koje kontroli\u0161u pona\u0161anje <em>Windows<\/em> <em>Update <\/em>procesa, kao \u0161to je <em>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsUpdate\\AU<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>WSUServer<\/em> (<em>Windows Server Update Services<\/em>): Opcionalna komponenta za upravljanje a\u017euriranjima na korporativnoj mre\u017ei, omogu\u0107avaju\u0107i administratorima da odobre i distribuiraju a\u017euriranja svojim klijentima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Grupne politike (eng. <em>Group Policy<\/em>): Funkcija koja omogu\u0107ava organizacijama da centralno upravljaju <em>Windows<\/em> pode\u0161avanjima, uklju\u010duju\u0107i konfiguracije a\u017euriranja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>MSI<\/em> instaler: <em>Microsoft<\/em> <em>Software<\/em> <em>Installer<\/em> se koristi za instaliranje novih softverskih paketa, kao \u0161to su bezbjednosne ispravke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>WUCLTG<\/em> (<em>Windows<\/em> <em>Update<\/em> <em>Cleanup<\/em> <em>Tool<\/em>): Ovaj alat uklanja stare i nepotrebne datoteke povezane sa prethodnim verzijama operativnog sistema ili instaliranim ispravkama.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Metodologija_Windows_Downgrade_napada\"><\/span><strong>Metodologija<em> Windows Downgrade<\/em> napada<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sa osnovnim razumijevanjem procesa <em>Windows<\/em> <em>Update <\/em>funkcionalnosti, sada se mogu istra\u017eiti potencijalni vektori napada za izvr\u0161avanje <em>Windows Downgrade<\/em> napada. Metodologija se sastoji od nekoliko koraka:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Identifikovanje komponenti koje se mogu degradirati: Prvi korak je da se utvrdi koje komponente operativnog sistema su podlo\u017ene degradaciji. Ovo uklju\u010duje verzije operativnog sistema, upravlja\u010dki softver (eng. <em>drivers<\/em>) i druge softverske pakete koji se mogu vratiti na prethodna stanja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zaobila\u017eenje sigurnosnih mehanizama: Da bi se izvr\u0161io uspje\u0161an <em>Windows Downgrade <\/em>napad, moraju se zaobi\u0107i sigurnosni mehanizmi koji su postavljeni da bi se sprije\u010dilo neovla\u0161tena degradacija kriti\u010dnih komponenti. Na primjer, <em>UEFI<\/em> mehanizmi zasnovani na <em>Windows Virtualization-Based Security<\/em> (<em>VBS<\/em>) su dizajnirani da za\u0161tite proces pokretanja od neovla\u0161tenog pristupa,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Iskori\u0161tavanje ranjivosti podizanjem privilegija: Degradacija \u010desto zahteva povi\u0161ene privilegije, jer neke komponente sistema mogu da mijenjaju samo pouzdani entiteti kao \u0161to su administratori ili sistemske usluge. Potrebno je identifikovati i iskoristiti sve poznate ranjivosti koje mogu dati dati neophodne dozvole za izvr\u0161enje <em>Windows Downgrade<\/em> napada,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izvr\u0161avanje toka napada: Kada se identifikuju potencijalne mete i dobiju potrebne privilegije, mo\u017ee se nastaviti sa stvarnim procesom degradacije manipulisanjem <em>Windows<\/em> <em>Update<\/em> komponentama kao \u0161to su\u00a0<em>WUAUENG.dll<\/em> ili <em>Catroot2<\/em>. Ovo mo\u017ee uklju\u010divati mijenjanje konfiguracijskih datoteka ili ubacivanje zlonamjernog k\u00f4da u legitimne procese da bi se primoralo na degradaciju odre\u0111enih paketa,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Nakon eksploatacije: Nakon uspje\u0161nog izvr\u0161enja napada, potrebno je obezbijediti da prisustvo ostane skriveno i da su sve potencijalne posljedice svedene na minimum. Na primjer, ako je izvr\u0161ena degradacija kriti\u010dne bezbjednosne komponente, mo\u017eda postoji potreba za instalacijom druge ispravke ili <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>zlonamjernog softvera kao bi se zadr\u017eao pristup sistemu.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Istrazivanje\"><\/span><strong>Istra\u017eivanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010d <em>Alon<\/em> <em>Leviev<\/em> je kroz svoje istra\u017eivanje prona\u0161ao nekoliko ranjivosti u <em>Windows<\/em> <em>Update<\/em> arhitekturi koje su omogu\u0107ile <em>Windows Downgrade <\/em>napade. Bio je u mogu\u0107nosti da manipuli\u0161e procesom a\u017euriranja kako bi napravio nevidljive, postojane i nepovratne degradacije na kriti\u010dnim komponentama operativnog sistema. Ovo mu je omogu\u0107ilo da podigne privilegije i zaobi\u0111e sigurnosne funkcije kao \u0161to su <em>UEFI<\/em> zaklju\u010davanja <em>Windows<\/em> <em>Virtualization<\/em>&#8211;<em>Based<\/em> <em>Security<\/em> (<em>VBS<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Istra\u017eivanje je pokazalo da je mogu\u0107e da se klju\u010dne komponente operativnog sistema, uklju\u010duju\u0107i i sam operativni sistem, vrate na stariju verziju, koriste\u0107i alat pod nazivom <em>Windows<\/em> <em>Downdate<\/em> koji je sigurnosni istra\u017eiva\u010d sam napravio. Ovo mo\u017ee dovesti do zna\u010dajnih bezbjednosnih rizika, jer su zastarele komponente podlo\u017enije poznatim i nepoznatim ranjivostima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kriti\u010dno otkri\u0107e je bila mogu\u0107nost da se zaobi\u0111u <em>VBS<\/em> <em>UEFI<\/em> zaklju\u010davanja putem <em>Windows Downgrade<\/em> napada. Ovo bi potencijalno moglo omogu\u0107iti <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da dobiju postojan pristup upravlja\u010dkom softveru sistema i izvr\u0161e trajne modifikacije. Na kraju, sigurnosni istra\u017eiva\u010d je otkrio nekoliko ranjivosti nakon po\u010detne eksploatacije u vezi sa podizanjem privilegija u virtuelizacionom sloju koje bi mogle biti izlo\u017eene <em>Windows Downgrade <\/em>napadima. Ove ranjivosti potencijalno mogu omogu\u0107iti zlonamjernim akterima da dobiju administrativni pristup ciljnom sistemu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sprovedeno istra\u017eivanje je imalo za posljedicu identifikaciju dvije ranjivosti <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-38202\" target=\"_blank\" rel=\"noopener\"><em>CVE-2024-38202<\/em><\/a> i <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-21302\" target=\"_blank\" rel=\"noopener\"><em>CVE-2024-21302<\/em><\/a><\/span><em><span style=\"font-size: 14pt;\">.<\/span> <\/em><\/p>\n<p><em>\u00a0<\/em><\/p>\n<h4><span class=\"ez-toc-section\" id=\"CVE-2024-38202\"><\/span><strong>CVE-2024-38202<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>CVE-2024-38202<\/em> ranjivost je klasifikovana kao problem eskalacije privilegija. To zna\u010di da zlonamjerni akter koji uspje\u0161no iskori\u0161tava ovu ranjivost dobija pove\u0107ana prava pristupa unutar pogo\u0111enog <em>Windows<\/em> sistema, omogu\u0107avaju\u0107i mu da obavlja radnje za koje ina\u010de ne bi bio ovla\u0161ten. U ovom slu\u010daju, zlonamjerni akter mo\u017ee da zamijeni trenutne verzije kriti\u010dnih <em>Windows<\/em> sistemskih datoteka sa zastarelim. \u010cine\u0107i to, zlonamjerni akter bi mogao potencijalno degradirati komponente kao \u0161to su biblioteke dinami\u010dkih veza (<em>DLL<\/em>), upravlja\u010dki softver, pa \u010dak i <em>NT<\/em> jezgro, koje su neophodne za odr\u017eavanje bezbjednosti i funkcionalnosti operativnog sistema.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"CVE-2024-21302\"><\/span><strong>CVE-2024-21302<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>CVE-2024-21302<\/em> je slo\u017eenija ranjivost koja se mo\u017ee koristiti za ponovno uvo\u0111enje prethodno rije\u0161enih bezbjednosnih propusta u <em>Windows<\/em> <em>Update<\/em> funkcionalnosti i zaobila\u017eenje nekih funkcija <em>Virtualization<\/em>&#8211;<em>Based<\/em> <em>Security<\/em> (<em>VBS<\/em>). <em>VBS<\/em> je va\u017ena komponenta <em>Microsoft<\/em> funkcije hipervizor za\u0161tite integriteta k\u00f4da, koja poma\u017ee u za\u0161titi od odre\u0111enih vrsta napada. Iskori\u0161\u0107avanjem ove ranjivosti, zlonamjerni akter bi potencijalno mogao da dobije mogu\u0107nost da eksfiltrira podatke iz kompromitovanog sistema dok izbjegava da ga otkriju bezbjednosni mehanizmi.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cCijenimo SafeBreach rad na identifikovanju i odgovornom prijavljivanju ove ranjivosti kroz koordinisano otkrivanje ranjivosti. Aktivno razvijamo ubla\u017eavanja da bismo se za\u0161titili od ovih rizika dok pratimo opse\u017ean proces koji uklju\u010duje temeljnu istragu, razvoj a\u017euriranja za sve pogo\u0111ene verzije i testiranje kompatibilnosti, kako bismo osigurali maksimalnu za\u0161titu korisnika uz minimalne smetnje u radu.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Microsoft &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Napadi <em>Windows<\/em> degradacije predstavljaju zna\u010dajnu prijetnju organizacijama \u0161irom sveta zbog njihove sposobnosti da pretvore ispravljene ranjivosti u ranjivosti nultog dana i obesmi\u0161ljavaju \u201c<em>potpuno a\u017eurirano<\/em>\u201d stanje na bilo kojoj <em>Windows<\/em> ma\u0161ini.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Implikacije ovog istra\u017eivanja su zna\u010dajne, jer pokazuju da se \u010dak i potpuno a\u017eurirana <em>Windows<\/em> ma\u0161ina mo\u017ee u\u010diniti podlo\u017enom hiljadama ranjivosti iz pro\u0161losti putem <em>Windows Downgrade<\/em> napada. Ovo bi moglo dovesti do potencijalnih ugro\u017eavanja podataka ili daljeg ugro\u017eavanja <em>IT<\/em> infrastrukture organizacije. \u0160tavi\u0161e, istra\u017eivanje nagla\u0161ava va\u017enost obezbje\u0111ivanja procesa upravljanja a\u017euriranjem i implementacije robusnih bezbjednosnih mjera kao \u0161to su <em>UEFI<\/em> zaklju\u010davanje i bezbjednost zasnovana na virtuelizaciji radi za\u0161tite od ovih vrsta napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Organizacije moraju dati prioritet upravljanju a\u017euriranjima tako \u0161to \u0107e osigurati da svi sistemi budu a\u017eurirani najnovijim bezbjednosnim ispravkama \u010dim postanu dostupne. Tako\u0111e bi trebalo da nadgledaju svoje mre\u017ee u potrazi za sumnjivim aktivnostima i ula\u017eu u napredna rije\u0161enja za otkrivanje prijetnji za za\u0161titu od ovih vrsta napada. Pored toga, organizacije mogu da implementiraju postavke grupnih politika ili druge alate za upravljanje konfiguracijom da kontroli\u0161u pona\u0161anje a\u017euriranja u svojim mre\u017enim okru\u017eenjima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">S druge strane, kompanija <em>Microsoft<\/em> mora da se pozabavi ranjivostima koje su otkrivene u ovom istra\u017eivanju i radi na pobolj\u0161anju svojih mehanizama za\u0161tite od <em>Windows Downgrade<\/em> napada. Ovo uklju\u010duje rje\u0161avanje slabosti u procesu <em>Windows<\/em> <em>Update<\/em>, virtuelizovanom sloju i <em>UEFI<\/em> upravlja\u010dkom softveru koji bi mogao da se iskoristi za napade koji se ne mogu otkriti. Na taj na\u010din kompanija mo\u017ee\u00a0 pomo\u0107i u odr\u017eavanju povjerenja korisnika u svoje proizvode i istovremeno obezbje\u0111ivanje optimalne bezbjednosti za svoje kupce.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Na osnovu svega navedenog, korisnici i organizacije bi mogli usvojiti nekoliko prijedloga za za\u0161titi od napada <em>Windows<\/em> degradacije:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Najbolja odbrana od <em>Windows Downgrade<\/em> napada je da se obezbijedi da sve komponente sistema pokre\u0107u najnovije verzije. Redovno provjeravati i instalirati a\u017euriranja softvera \u010dim postanu dostupna. Ovo uklju\u010duje ne samo operativne sisteme ve\u0107 i aplikacije, upravlja\u010dki softver i druge komponente,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite pouzdane izvore za preuzimanje softvera, jer zlonamjerni akteri mogu da iskoriste ranjivosti u zastarelom ili nepouzdanom softveru za distribuciju <em>Windows Downgrade<\/em> napada koji sadr\u017ee zlonamjerni softver ili druge prijetnje,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirajte autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>), jer dodaje dodatni sloj bezbjednosti zahvaljuju\u0107i od korisnika da obezbijede dva ili vi\u0161e oblika identifikacije prije pristupa osjetljivim sistemima ili podacima. Ovo mo\u017ee pomo\u0107i da se sprije\u010di napada\u010di da dobiju neovla\u0161teni pristup i naprave promjene u sistemu, uklju\u010duju\u0107i degradaciju komponenti na stariju verziju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite pouzdano antivirusno rje\u0161enje za otkrivanje i blokiranje <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> koji se mo\u017ee koristiti u <em>Windows Downgrade <\/em> Uvjeriti se da je a\u017euriran <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni program<\/a> instaliran na svim ure\u0111ajima i konfigurisati ga za obavljanje redovnih skeniranja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Nadgledanje sistemskih evidencija mo\u017ee pomo\u0107i da se identifikuju neobi\u010dne aktivnosti, kao \u0161to su poku\u0161aji instaliranja ili izmjena softvera bez ovla\u0161\u0107enja. Redovno pregledati sistemske evidencije u potrazi za znakovima sumnjivog pona\u0161anja uz analizu otkrivenih anomalija,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite pravilno konfigurisan za\u0161titni zid koji mo\u017ee pomo\u0107i u spre\u010davanju neovla\u0161tenog pristupa sistemu sa interneta. Uvjeriti se da su svi portovi zatvoreni osim onih koji su neophodni i konfigurisati pravila za blokiranje saobra\u0107aja sa poznatih zlonamjernih <em>IP<\/em> adresa ili domena,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti listu dozvoljenih aplikacija, jer ova bezbjednosna tehnika dozvoljava samo odobrenom softveru da radi na sistemu. Ovo mo\u017ee pomo\u0107i u spre\u010davanju <em>Windows Downgrade<\/em> napada blokiranjem instalacije neodobrenih ili zastarelih komponenti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite tehnologiju virtuelizacije kao \u0161to je <em>Hyper-V<\/em> ili <em>VMware<\/em> koja mo\u017ee pomo\u0107i u za\u0161titi od <em>Windows Downgrade<\/em> napada tako \u0161to \u0107e izolovati operativni sistem i aplikacije u zasebnom okru\u017eenju. Ako zlonamjerni akter uspije da kompromituje jednu virtuelnu ma\u0161inu, uticaj na druge sisteme je minimalan, jer rade u razli\u010ditim okru\u017eenjima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ograni\u010davanje privilegija korisnika i primjena jakih politika <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> mogu pomo\u0107i u spre\u010davanju neovla\u0161tenih promjena na sistemu. Uvjeriti se da svaki korisnik ima samo neophodne dozvole za obavljanje svojih radnih funkcija i primijeniti stroge zahteve za lozinkom kako bi se napada\u010dima ote\u017eao pristup putem slabih akreditiva,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pravljenje <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnih kopija<\/a> podataka va\u017enih podataka je od su\u0161tinskog zna\u010daja u slu\u010daju <em>Windows Downgrade<\/em> napada ili bilo koje druge vrste bezbjednosnog incidenta. Uvjeriti se da su rezervne kopije bezbjedno uskladi\u0161tene van lokacije ili na zasebnom sistemu i \u010desto testirati proces vra\u0107anja kako se osiguralo da funkcioni\u0161e kako je predvi\u0111eno.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Windows Downgrade napad je sigurnosnoj sajber zajednici predstavio sigurnosni istra\u017eiva\u010d Alon Leviev iz kompanije SafeBreach Labs. Kako je Windows Update je kriti\u010dna komponenta svakog Windows ure\u0111aja, odgovorna za isporuku osnovnih bezbjednosnih a\u017euriranja i ispravki,&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7097,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1997,658,2002,1995,1998,1994,1996,167,2000,1999,1868,1993,1397,2001],"class_list":["post-7106","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-critical-updates","tag-dll","tag-downgrade-ability","tag-drivers","tag-fully-updated","tag-nt-kernel","tag-os-components","tag-privilege-escalation","tag-uefi-locks","tag-virtualization-stack","tag-vulnerabilities","tag-windows-downgrade","tag-windows-security","tag-zero-day-exploits"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7106"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7106\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7097"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}