Pesquisadores de cibersegurança revelaram uma vulnerabilidade que permite contornar o sistema de imposição de assinatura de drivers (DSE) da Microsoft, possibilitando a instalação de rootkits em sistemas Windows atualizados. Esse método de ataque, chamado de “downgrade do sistema operacional”, permite que invasores carreguem drivers não assinados no kernel, comprometendo a segurança do sistema ao ocultar processos e atividades de rede.

O pesquisador Alon Leviev explica que a vulnerabilidade é explorada por meio de uma ferramenta chamada “Windows Downdate”, que sequestra o processo de atualização do Windows para realizar um downgrade invisível e irreversível em componentes essenciais do sistema. Com isso, é possível reverter o sistema para versões anteriores, contendo falhas que já haviam sido corrigidas. Esta abordagem representa uma evolução em relação aos ataques do tipo Bring Your Own Vulnerable Driver (BYOVD), pois permite ao invasor um controle ainda mais abrangente do sistema comprometido.

A Microsoft já havia tratado algumas falhas associadas a esse tipo de ataque, como as CVE-2024-21302 e CVE-2024-38202, em suas atualizações de segurança de agosto e outubro de 2024. Contudo, a técnica descrita por Leviev ainda explora uma vulnerabilidade documentada por Gabriel Landau em julho de 2024, a “ItsNotASecurityBoundary”, que tira proveito de uma condição de corrida para substituir um arquivo de catálogo de segurança por uma versão adulterada. Assim, o invasor força o sistema a carregar drivers não assinados, ganhando permissão para executar código no kernel do sistema.

O ataque, no entanto, pode ser mitigado pela Virtualização Baseada em Segurança (VBS) habilitada no sistema, que verifica a integridade do catálogo usando a biblioteca “skci.dll” em vez da “ci.dll”. Mesmo assim, há formas de desativar o VBS, como alterar configurações no Registro do Windows ou modificar o SecureKernel.exe, tornando possível o downgrade do sistema.

Para impedir esses ataques, a Microsoft recomenda ativar o VBS com o bloqueio UEFI e um sinalizador de obrigatoriedade no registro. Esse modo evita que o sistema inicialize caso módulos críticos, como o hipervisor ou Secure Kernel, estejam ausentes ou corrompidos. Dessa forma, configurações adicionais de segurança são necessárias para garantir a proteção total contra esse novo vetor de ataque.