Windows Downdate: новый инструмент отменяет все обновления Windows

Специалист из SafeBreach Алон Левиев выпустил инструмент Windows Downdate, который позволяет вернуть старые уязвимости на обновлённых системах Windows 10, Windows 11 и Windows Server.

Downgrade-атака позволяет злоумышленникам откатывать целевые устройства на более ранние версии ПО, что приводит к повторному появлению уязвимостей, которые могут быть использованы для компрометации системы.

Windows Downdate доступен как программа на Python с открытым исходным кодом и как готовый исполняемый файл для Windows. С помощью инструмента можно откатить различные компоненты Windows, такие как гипервизор Hyper-V, ядро системы, драйверы NTFS и другие, до их базовых версий.

Левиев также продемонстрировал примеры использования Windows Downdate для отката исправлений уязвимостей CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault, а также для обхода защиты VBS, включая компоненты Credential Guard и HVCI, даже даже при использовании UEFI-записей. По словам исследователя, это первый случай обхода UEFI-защиты без физического доступа к устройству.

На конференции Black Hat 2024 Левиев сообщил, что атаки с использованием Windows Downdate остаются незамеченными для EDR-решений, а Windows Update продолжает показывать, что система обновлена, хотя фактически она была понижена до более старой версии.

Несмотря на то, что Microsoft исправила одну из Downgrade-уязвимостей (CVE-2024-21302), вторая уязвимость (CVE-2024-38202) пока остаётся не устранённой. До выхода обновления Microsoft рекомендует клиентам использовать меры защиты.

Рекомендуемые меры включают в себя настройку параметров аудита доступа к объектам для мониторинга попыток доступа к файлам, ограничение операций обновления и восстановления, использование списков управления доступом для ограничения доступа к файлам, а также аудит привилегий для выявления попыток эксплуатации данной уязвимости.