Tại Black Hat 2024, nhà nghiên cứu an toàn Anon Levievđã thể hiện một công cụđiều đó có thể âm thầm hoàn tácbảo vệCác bản vá được cài đặt trên các máy tính chạy Windows 10,Windows 11và Windows Server.Thông qua một cuộc tấn công hạ cấp như vậy, các diễn viên đe dọa có thể giới thiệu lại các lỗ hổng an ninh cũ.Vài tháng sau, Leviev cóPhát hành công cụ nàyLà một chương trình dựa trên Python nguồn mở và một Windows được quy định sẵn có thể thực thi.

Sử dụng công cụ, được đặt tên là Windows Downdate, nó có thể phá vỡ các phần của Windows Update để tạo các gói hạ cấp tùy chỉnh.Những điều này sau đó phơi bày các lỗ hổng bảo mật trong quá khứ và cho phép người dùng thỏa hiệp các hệ thống đó như thể chúng không bao giờ được vá ở nơi đầu tiên.

Công cụ Leviev từ khai thácCVE-2024-21302VàCVE-2024-38202lỗ hổng.Việc sử dụng nó là không thể phát hiện được vì các giải pháp phát hiện và phản hồi điểm cuối (EDR) không thể chặn nó.Hơn nữa, Windows Update tiếp tục báo cáo rằng hệ thống được nhắm mục tiêu được cập nhật, mặc dù nó thực sự bị hạ cấp.

Cùng với chính công cụ này, Leviev đã cung cấp một số ví dụ về việc sử dụng nó.Trong các ví dụ này, người dùng có thể hạ cấp Hyper-V Hypervisor xuống phiên bản hai năm tuổi.Các ví dụ cũng giải thích cách hoàn nguyên hạt nhân Windows, trình điều khiển NTFS và trình điều khiển Trình quản lý bộ lọc về các phiên bản gốc của chúng.Hướng dẫn cũng đi bộ thông qua việc hạ cấp các thành phần Windows khác và các bản vá bảo mật được áp dụng trước đó.

Nhà nghiên cứu bảo mật cũng khuyến khích những người khác sử dụng công cụ cho "nghiên cứu thêm và tìm thêm lỗ hổng."

MicrosoftĐã phát hành bản cập nhật bảo mật vào ngày 7 tháng 8 để giải quyết lỗ hổng đặc quyền của CVE-2024-21302 Windows Secure Mode Mode.Tuy nhiên, vẫn chưa có bản vá cho CVE-2024-38202, mức độ dễ bị tổn thương đặc quyền của Windows Update.

Cho đến khi Microsoft phát hành bản cập nhật bảo mật cho CVE-2024-38202, công ty cho biết người dùng nên tuân theo các đề xuất được nêu trongTư vấn bảo mật được phát hành vào đầu tháng nàyĐể bảo vệ chống lại các cuộc tấn công hạ cấp xuống Windows.

Các đề xuất này bao gồm định cấu hình các cài đặt truy cập đối tượng kiểm toán trên mạng để giám sát các nỗ lực truy cập tệp, khôi phục các hoạt động và khôi phục cập nhật, sử dụng danh sách kiểm soát truy cập để hạn chế truy cập tệp và thực hiện kiểm toán thường xuyên để xác định các nỗ lực khai thác lỗ hổng.