早前有研究人员在分析 Windows 10/11 更新机制时发现微软虽然已经考虑到潜在的安全问题增加了各种限制,但还是存在失误因此存在弱点,研究人员则通过该弱点成功降级了系统。通过该漏洞不仅可以成功降级系统,同时系统还会认为自己已经完成更新并且当前处于最新版,该漏洞影响 Windows 10、Windows 11 以及 Windows Server 服务器系统。
降级有什么意义呢?答案是将以前那些已经修复的漏洞重新暴露出来,微软每个月都会发布安全更新用来修复漏洞,而旧版本系统存在大量的安全漏洞,因此只要成功降级就可以轻松利用那些历史漏洞。
研究人员甚至可以对 Windows NT 内核、NTFS 驱动程序、Filter Manager 驱动程序降级到原始版本,对 Windows 系统来说这是个复杂但危害性又是非常高的漏洞。
微软已经在 8 月 7 日发布的安全更新中对该漏洞进行修复,既然已经完成修复,所以现在有研究人员推出针对该漏洞的工具:Windows Downdate。
附 Windows Downdate 项目地址:https://github.com/SafeBreach-Labs/WindowsDowndate
借助该工具安全研究人员可以绕过 Windows Update 的部分功能来制作自定义降级包,若能成功降级系统就可以配合以前的安全漏洞发起针对性的攻击。
研究人员还同时利用了 CVE-2024-21302 和 CVE-2024-38202 漏洞,由于端点检测和响应 (EDR) 技术无法正常识别,因此即便发生了攻击 EDR 也不会出现任何提醒。
在 GitHub 中研究人员还提供了几个示例:将 Hyper-V 虚拟机管理程序降级到 2022 年的版本;如何将 Windows NT 内核恢复到原始版本;如何降级其他 Windows 组件和之前已经安装的补丁。
需要提醒的是鉴于这些漏洞已经得到修复,研究人员才制作并发布工具进行研究测试,黑客当然也能使用该工具发起攻击,因此对使用 Windows PC 和 Windows Server 服务器的用户和企业来说需要尽快安装最新补丁。