在这种攻击中，攻击者迫使新的目标设备恢复到旧的软件版本，从而重新引入可被利用来危害系统的安全漏洞。

Windows Downdate 是一个基于Python 的开源程序和预编译的Windows 可执行文件，可帮助降级Windows 10、Windows 11 和Windows Server 系统组件。

SafeBreach 安全研究员Alon Leviev 解释说：“您可以使用它来接管Windows 更新，以降级并暴露DLL、驱动程序、NT 内核、安全内核、虚拟机管理程序、IUM 信任等中过去的漏洞。”

“除了自定义降级之外，Windows Downdate 还提供了易于使用的使用示例，用于恢复CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 和PPLFault 补丁，以及降级虚拟机管理程序、内核和绕过VBS 的UEFI 锁的示例。”

正如Leviev 在Black Hat 2024 上披露Windows Downdate 攻击（利用CVE-2024-21302 和CVE-2024-38202 漏洞）时所说，使用此工具无法检测到它，因为它无法被端点检测和响应（EDR ）解决方案阻止，Windows Update 不断报告目标系统是最新的（尽管已降级）。

“我发现了多种方法来禁用基于Windows 虚拟化的安全性(VBS)，包括其Credential Guard 和虚拟机管理程序保护代码完整性(HVCI) 等功能，即使使用UEFI 锁强制执行也是如此。据我所知，这是UEFI 第一次在没有物理访问的情况下，VBS 的锁定已被绕过，”Leviev 说。

“结果，我能够将一台完全打过补丁的Windows 机器暴露给数千个过去的漏洞，将已打补丁的漏洞变成零日漏洞，让世界上任何一台Windows 机器上的‘完全打过补丁’这个词变得毫无意义。 ”

尽管微软于8月7日发布了安全更新（KB5041773）来修复Windows安全内核模式权限提升漏洞CVE-2024-21302，但该公司尚未提供针对Windows更新堆栈权限提升漏洞CVE-2024-38202的补丁。

此问题的缓解措施包括配置审核对象访问设置以监视文件访问尝试、限制更新和还原操作、使用访问控制列表来限制文件访问以及审核权限以识别利用此漏洞的尝试。

详情请参考：https://github.com/SafeBreach-Labs/WindowsDowndate