所有人可用!Downdate 竟悄然降級 Windows 補丁
在 2024 年的黑帽大會上,SafeBreach 研究員阿農·萊維耶夫 展示了一個工具,該工具能夠靜默撤銷在運行 Windows 10、Windows 11 以及 Windows Server 系統的計算機上所安裝的安全補丁。通過這種降級攻擊,威脅行爲者能夠重新引入舊有的安全漏洞。幾個月後,萊維耶夫已把此工具發佈成一個基於 Python 的開源程序和一個預編譯的 Windows 可執行文件。
使用這個被稱作 Windows Downdate 的工具,能夠繞過 Windows Update 的部分功能以製作自定義降級包。這些包會暴露過去的安全漏洞,並且允許用戶破壞這些系統,就如同它們從未打過補丁似的。
Leviev 的工具利用了 CVE-2024-21302 和 CVE-2024-38202 漏洞。它的使用難以被檢測出來,因爲端點檢測和響應(EDR)解決方案無法阻止它。此外,Windows Update 仍然報告目標系統處於最新狀態,儘管實際上它已經被降級了。
除了工具本身之外,列維耶夫還提供了幾個使用示例。在這些示例中,用戶可以將 Hyper-V 虛擬機管理程序的版本降低到兩年前的。這些示例還解釋瞭如何將 Windows 內核、NTFS 驅動程序和篩選器管理器驅動程序恢復至其初始版本。說明還詳細闡述瞭如何對其他 Windows 組件和之前應用的安全補丁進行降級。
該安全研究人員還鼓勵其他人使用該工具用於‘進一步的研究並發現更多漏洞’。
微軟於 8 月 7 日發佈了一個安全更新,以解決 CVE-2024-21302 所涉及的 Windows 安全內核模式特權提升漏洞。然而,CVE-2024-38202 這一 Windows 更新堆棧特權提升漏洞,目前仍未推出補丁。
在微軟針對 CVE-2024-38202 發佈安全更新之前,該公司稱,用戶應當遵循本月早些時候發佈的安全公告中所列出的建議,以防範 Windows 系統降級攻擊。
這些建議包括配置“對象訪問審計”設置以監控文件訪問嘗試,限制更新和還原操作,同時利用訪問控制列表限制文件訪問,並且定期進行審覈以識別利用該漏洞的嘗試。