所有人可用！Downdate 竟悄然降級 Windows 補丁

在 2024 年的黑帽大會上，SafeBreach 研究員阿農·萊維耶夫 展示了一個工具，該工具能夠靜默撤銷在運行 Windows 10、Windows 11 以及 Windows Server 系統的計算機上所安裝的安全補丁。通過這種降級攻擊，威脅行爲者能夠重新引入舊有的安全漏洞。幾個月後，萊維耶夫已把此工具發佈成一個基於 Python 的開源程序和一個預編譯的 Windows 可執行文件。

使用這個被稱作 Windows Downdate 的工具，能夠繞過 Windows Update 的部分功能以製作自定義降級包。這些包會暴露過去的安全漏洞，並且允許用戶破壞這些系統，就如同它們從未打過補丁似的。

Leviev 的工具利用了 CVE-2024-21302 和 CVE-2024-38202 漏洞。它的使用難以被檢測出來，因爲端點檢測和響應（EDR）解決方案無法阻止它。此外，Windows Update 仍然報告目標系統處於最新狀態，儘管實際上它已經被降級了。

除了工具本身之外，列維耶夫還提供了幾個使用示例。在這些示例中，用戶可以將 Hyper-V 虛擬機管理程序的版本降低到兩年前的。這些示例還解釋瞭如何將 Windows 內核、NTFS 驅動程序和篩選器管理器驅動程序恢復至其初始版本。說明還詳細闡述瞭如何對其他 Windows 組件和之前應用的安全補丁進行降級。

該安全研究人員還鼓勵其他人使用該工具用於‘進一步的研究並發現更多漏洞’。

微軟於 8 月 7 日發佈了一個安全更新，以解決 CVE-2024-21302 所涉及的 Windows 安全內核模式特權提升漏洞。然而，CVE-2024-38202 這一 Windows 更新堆棧特權提升漏洞，目前仍未推出補丁。

在微軟針對 CVE-2024-38202 發佈安全更新之前，該公司稱，用戶應當遵循本月早些時候發佈的安全公告中所列出的建議，以防範 Windows 系統降級攻擊。

這些建議包括配置“對象訪問審計”設置以監控文件訪問嘗試，限制更新和還原操作，同時利用訪問控制列表限制文件訪問，並且定期進行審覈以識別利用該漏洞的嘗試。