SafeBreach beveiligingsonderzoeker Alon Leviev heeft zijn Windows Downdate-tool vrijgegeven, die kan worden gebruikt voor downgrade-aanvallen die oude kwetsbaarheden opnieuw introduceren in volledig up-to-date Windows 10-, Windows 11- en Windows Server-systemen.

Bij dergelijke aanvallen dwingen kwaadwillenden up-to-date gerichte apparaten om terug te keren naar oudere softwareversies, waardoor beveiligingskwetsbaarheden worden heringevoerd die kunnen worden uitgebuit om het systeem te compromitteren.

Windows Downdate is beschikbaar als een open-source programma gebaseerd op Python en een vooraf gecompileerd Windows-uitvoerbaar bestand dat kan helpen bij het downgraden van Windows 10-, Windows 11- en Windows Server-systeemcomponenten.

Leviev heeft ook meerdere gebruiksvoorbeelden gedeeld waarmee het mogelijk is om de Hyper-V-hypervisor (naar een twee jaar oude versie), de Windows Kernel, de NTFS-driver en de Filter Manager-driver (naar hun basisversies) en andere Windows-componenten en eerder toegepaste beveiligingspatches te downgraden.

“Je kunt het gebruiken om controle te nemen over Windows Updates om te downgraden en eerdere kwetsbaarheden bloot te leggen die zijn geïntroduceerd in DLL’s, drivers, de NT-kernel, de Secure Kernel, de Hypervisor, IUM-Trustlets en meer,” legde SafeBreach beveiligingsonderzoeker Alon Leviev uit.

“Afgezien van aangepaste downgrades, biedt Windows Downdate gebruiksvriendelijke voorbeelden van het terugdraaien van patches voor CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 en PPLFault, evenals voorbeelden van het downgraden van de hypervisor, de kernel, en het omzeilen van UEFI-vergrendelingen van VBS.”

Zoals Leviev zei op Black Hat 2024 toen hij de Windows Downdate downgrade-aanval onthulde—which exploits the CVE-2024-21302 en CVE-2024-38202 kwetsbaarheden—het gebruik van deze tool is ondetecteerbaar omdat het niet kan worden geblokkeerd door oplossingen voor endpointdetectie en -reactie (EDR) en Windows Update blijft rapporteren dat het gerichte systeem up-to-date is (ondanks de downgrade).

“Ik ontdekte meerdere manieren om Windows virtualisatie-gebaseerde beveiliging (VBS) uit te schakelen, inclusief functies zoals Credential Guard en Hypervisor-Protected Code Integrity (HVCI), zelfs wanneer deze worden afgedwongen met UEFI-vergrendelingen. Voor zover ik weet, is dit de eerste keer dat UEFI-vergrendelingen van VBS zijn omzeild zonder fysieke toegang,” zei Leviev.

“Als resultaat kon ik een volledig gepatchte Windows-machine kwetsbaar maken voor duizenden eerdere kwetsbaarheden, waardoor gerepareerde kwetsbaarheden zero-days werden en de term ‘volledig gepatcht’ betekenisloos werd op elke Windows-machine ter wereld.”

Hoewel Microsoft een beveiligingsupdate (KB5041773) heeft uitgebracht om het CVE-2024-21302 Windows Secure Kernel Mode privilege-escalatielek te verhelpen op 7 augustus, heeft het bedrijf nog geen patch geleverd voor CVE-2024-38202, een Windows Update Stapel privilege-escalatie kwetsbaarheid.

Totdat er een beveiligingsupdate wordt vrijgegeven, adviseert Redmond klanten om aanbevelingen te implementeren die eerder deze maand zijn gedeeld in het beveiligingsadvies om te helpen beschermen tegen Windows Downdate downgrade-aanvallen.

Mitigatiemaatregelen voor dit probleem omvatten het configureren van ‘Audit Object Access’-instellingen om pogingen tot bestandstoegang te monitoren, het beperken van update- en hersteloperaties, het gebruik van Access Control Lists om de toegang tot bestanden te beperken, en het auditen van privileges om pogingen tot uitbuiting van deze kwetsbaarheid te identificeren.