محقق امنیتی SafeBreach در در Black Hat 2024 اعلام کرد که میتوان از دو روز صفر در حملات downgrade برای “unpatch” سیستمهای ویندوز 10، ویندوز 11 و ویندوز سرور کاملا به روز شده و معرفی مجدد آسیبپذیریهای قدیمی استفاده کرد.
مایکروسافت در هماهنگی با Black Hat توصیههایی را در مورد دو روز صفر وصله نشده با شناسههای CVE-2024-38202 و CVE-2024-21302 و توصیههایی را برای کاهش تا زمان انتشار وصله ارائه کرد.
محقق امنیتی SafeBreach کشف کرد که فرآیند بهروزرسانی ویندوز میتواند برای downgrade مؤلفههای حیاتی سیستم عامل، از جمله DLLها و NT Kernel به خطر بیفتد. با بهرهبرداری از آسیبپذیریهای روز صفر، همچنین میتوان کرنل امن Credential Guard و فرآیند حالت کاربر ایزوله و هایپروایزر Hyper-V را downgrade کرد تا آسیبپذیریهای ارتقا دسترسی قبل آشکار شود.
گفتنی است که در حملات downgrade، عوامل تهدید دستگاه به روزِ هدف را به نسخههای قدیمیتر نرمافزار بازمیگردانند و آسیبپذیریهایی را مجدداً معرفی میکنند که برای به خطر انداختن سیستم مورد سوء استفاده قرار گیرند.
https://www.bleepingcomputer.com/news/microsoft/windows-update-downgrade-attack-unpatches-fully-updated-systems
