A SafeBreach biztonsági kutatója, Alon Leviev a Black Hat 2024 konferencián bemutatta, hogy két nulladik napi sebezhetőség is kihasználható downgrade támadásokhoz, amelyek révén a legújabb verziót futtató Windows 10, Windows 11 és Windows Server rendszerek patch előtti állapotba hozhatók és így a régi sérülékenységek újra bevethetők ellenük. Tehát az ilyen jellegű támadások célja, hogy egy naprakész rendszert egy korábbi verzióra kényszerítsen vissza.
A szóban forgó két nulladik napi sérülékenység a CVE-2024-38202 és a CVE-2024-21302.
Alon Leviev arra lett figyelmes, hogy a Windows frissítési folyamat kompromittálható, lehetővé téve a kritikus fontosságú operációsrendszer komponensek, mint a DLL-ek, vagy az NT Kernel downgradelését. Annak ellenére, hogy ezek így elavulttá válnak, a Windows Update ellenőrzéskor teljesen frissített állapotot jelez, és a helyreállítási eszközök sem észlelnek problémát. Továbbá a Credential Guard Secure Kernel, az Isolated User Mode Process, és a Hyper-V hypervisor elemeinek downgradelésével korábbi jogosultsági szint emelési sebezhetőségek is újra kihasználhatóvá válnak.
Leviev szerint ez a támadás észrevehetetlen, mert nem blokkolható EDR megoldásokkal, és láthatatlan is, mivel a Windows Update frissnek jelzi a megtámadott komponenseket.
A Microsoftnak nincs tudomása arról, hogy a sérülékenységek aktív kihasználás alatt lennének, azonban javasolta az általuk közzétett biztonsági tanácsban összefoglaltak alkalmazását, hogy csökkenjen a kihasználás kockázata, amíg nem jelenik meg biztonsági frissítés.
