Эксперт компании SafeBreach Алон Левиев (Alon Leviev) выпустил инструмент Windows Downdate, который можно использовать для даунгрейд-атак на понижение версий Windows 10, Windows 11 и Windows Server. Такая атака позволит использовать уже исправленные уязвимости, так как ОС снова становится уязвимой для старых багов.
Windows Downdate представляет собой опенсорсный инструмент на Python, предварительно скомпилированный в исполняемый файл Windows, с помощью которого можно осуществить даунгрейд системных компонентов Windows 10, Windows 11 и Windows Server.
Левиев поделился несколькими примерами использования инструмента, которые позволяют откатить обновления гипервизора Hyper-V (до версии двухлетней давности), ядра Windows, драйверов NTFS и Filter Manager (до их базовых версий), а также других компонентов Windows и ранее примененных патчей.
«С помощью Windows Downdate вы можете взять на себя управление обновлениями Windows, чтобы осуществить даунгрейд и открыть [для атак] прошлые уязвимости, содержащиеся в библиотеках DLL, драйверах, ядре NT, ядре Secure Kernel, гипервизоре, трастлетах IUM и многом другом, — рассказывает Левиев. — Кроме кастомных даунгрейдов Windows Downdate содержит простые в использовании примеры отката патчей для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault, а также примеры даунгрейда гипервизора, ядра и обход UEFI-блокировок VBS».
Напомним, что впервые эксперт рассказал об этой атаке и связанных с ней 0-day уязвимостях (CVE-2024-38202 и CVE-2024-21302) на конференции Black Hat 2024. Тогда он объяснял, что использование инструмента практически невозможно обнаружить, поскольку атака не блокируется EDR-решениями, а Windows Update считает, что устройство полностью обновлено.
«Я обнаружил несколько способов отключения безопасности Windows VBS, включая Credential Guard and Hypervisor-Protected Code integrity (HVCI), даже при использовании блокировок в UEFI. Насколько мне известно, это первый случай, когда блокировки UEFI в VBS удалось обойти без физического доступа. В результате я смог сделать полностью обновленную Windows-машину восприимчивой к тысячам старых уязвимостей, превратив уже исправленные уязвимости в 0-day и сделав термин "полностью пропатченная" бессмысленным для любой Windows-системы в мире», — рассказывал Левиев на Black Hat.
Хотя 7 августа 2024 года Microsoft выпустила обновление (KB5041773) для устранения проблемы CVE-2024-21302, связанной с повышением привилегий в Windows Secure Kernel Mode, компания пока не исправила уязвимость CVE-2024-38202, связанную с повышением привилегий в Windows Update Stack.