SafeBreach专家Alon Leviev发布了一款名为 Windows Downdate的工具,可用于对Windows 10、Windows 11 和 Windows Server 版本进行降级攻击。
这种攻击允许利用已经修补的漏洞,因为操作系统再次容易受到旧错误的影响。
Windows Downdate 是一个开源Python 工具,预编译为 Windows 可执行文件,可用于降级 Windows 10、Windows 11 和 Windows Server 的系统组件。
https://github.com/SafeBreach-Labs/WindowsDowndate
Leviev 分享了使用该工具的几个示例,它允许您回滚 Hyper-V 虚拟机管理程序(至两年前的版本)、Windows 内核、NTFS 驱动程序和过滤器管理器(至基础版本)的更新,以及其他 Windows 组件和之前应用的补丁。
通过 Windows Downdate,您可以控制 Windows 更新来降级并暴露DLL、驱动程序、NT 内核、安全内核、虚拟机管理程序、IUM trustlet 等中包含的过去的漏洞。
除了自定义降级之外,Windows Downdate 还包含 CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 和 PPLFault 的补丁回滚的易于使用的示例,以及虚拟机管理程序降级的示例,内核,并绕过 UEFI VBS 块。
回想一下,专家在 Black Hat 2024 会议上首次谈论此攻击以及相关的0day漏洞( CVE-2024-38202 和 CVE-2024-21302 ),当时他解释说使用该工具几乎是不可能的检测,因为 EDR 解决方案无法阻止攻击,并且 Windows 更新认为设备已完全更新。
我发现了多种禁用 Windows VBS 安全性的方法,包括 Credential Guard 和虚拟机管理程序保护的代码完整性 (HVCI),即使在使用 UEFI 锁时也是如此。
据我所知,这是第一次在没有物理访问的情况下绕过VBS中的UEFI块。
结果,我能够让一台完全打过补丁的 Windows 机器容易受到数千个旧漏洞的影响,将已经打过补丁的漏洞变成 0 天,并使“完全打过补丁”这个词对于世界上任何 Windows 系统来说都毫无意义。
尽管 Microsoft 于 2024 年 8 月 7 日发布了更新 ( KB5041773 ) 来解决 Windows 安全内核模式 CVE-2024-21302 权限提升漏洞。
但该公司尚未修补Windows 更新堆栈权限提升漏洞 CVE -2024-38202。