На Black Hat 2024 исследователь SafeBreach Анон Левиев продемонстрировал инструмент, который может молча отменять исправления безопасности, установленные на компьютерах под управлением Windows 10, Windows 11 и Windows Server. С помощью такой атаки с понижением версии злоумышленники могут повторно ввести старые уязвимости безопасности. Несколько месяцев спустя Левиев выпустил этот инструмент в виде программы на основе Python с открытым исходным кодом и предварительно скомпилированного исполняемого файла Windows. 

Используя инструмент, названный Windows Downdate, можно обойти части Windows Update, чтобы создать пользовательские пакеты понижения версии. Затем они раскрывают прошлые уязвимости безопасности и позволяют пользователям скомпрометировать эти системы, как будто они изначально не были исправлены. 

Инструмент Левиева использует уязвимости CVE-2024-21302 и CVE-2024-38202. Его использование невозможно обнаружить, поскольку решения обнаружения и реагирования на конечные точки (EDR) не могут его заблокировать. Более того, Центр обновления Windows продолжает сообщать, что целевая система обновлена, хотя на самом деле она была понижена. 

Вместе с самим инструментом Левиев привел несколько примеров его использования. В этих примерах пользователи могут понизить версию гипервизора Hyper-V до двухлетней давности. В примерах также объясняется, как вернуть ядро Windows, драйвер NTFS и драйвер Filter Manager к их исходным версиям. Инструкции также охватывают понижение версии других компонентов Windows и ранее примененных исправлений безопасности. 

Исследователь безопасности также призвал других использовать этот инструмент для «дальнейшего исследования и поиска дополнительных уязвимостей». Microsoft выпустила обновление безопасности 7 августа для устранения уязвимости повышения привилегий Windows Secure Kernel Mode CVE-2024-21302. Однако пока нет исправления для CVE-2024-38202, уязвимости повышения привилегий Windows Update Stack. 

Пока Microsoft не выпустит обновление безопасности для CVE-2024-38202, компания заявляет, что пользователям следует следовать рекомендациям, изложенным в совете по безопасности, выпущенном ранее в этом месяце, чтобы защититься от атак с понижением версии Windows Downdate. Эти рекомендации включают настройку параметров «Аудит доступа к объектам» для отслеживания попыток доступа к файлам, ограничение операций обновления и восстановления, использование списков контроля доступа для ограничения доступа к файлам и проведение регулярных аудитов для выявления попыток эксплуатации уязвимости.