Инструмент Windows Downdate позволяет «отменять исправления» систем Windows

Исследователь по безопасности SafeBreach Алон Левиев выпустил свой инструмент Windows Downdate, который можно использовать для атак «понижения версии». Эти атаки позволяют возвращать старые уязвимости в современные системы Windows 10, 11 и Windows Server.

Windows Downdate доступен на GitHub как программа с открытым исходным кодом на основе Python и предварительно скомпилированный исполняемый файл Windows. 

Левиев также поделился несколькими примерами использования, в которых он откатил версии гипервизора Hyper-V (до 2022 года), ядра Windows, драйвера NTFS и драйвера Filter Manager (до базовых), а также других компонентов Windows.

«Помимо этого, Windows Downdate предлагает откат исправлений для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault», — пояснил Левиев.

Как рассказал эксперт на Black Hat 2024, он раскрыл атаку понижения версии Windows Downdate, которая использует уязвимости CVE-2024-21302 и CVE-2024-38202. При этом использование инструмента невозможно обнаружить, поскольку его нельзя заблокировать решениями обнаружения и реагирования конечных точек (EDR), а Центр обновления Windows продолжает сообщать, что целевая система обновлена.

«Я обнаружил несколько способов отключить безопасность на основе виртуализации Windows (VBS), включая такие функции, как Credential Guard и Hypervisor-Protected Code integrity (HVCI), даже при использовании блокировок UEFI. Насколько мне известно, это первый случай обхода блокировок UEFI VBS без физического доступа. В результате мне удалось сделать полностью пропатченную машину Windows уязвимой для тысяч прошлых багов, превратив исправленные уязвимости в уязвимости нулевого дня и сделав термин “полностью пропатченная” бессмысленным для любой системы Windows в мире», — подчеркнул