Дослідник кібербезпеки SafeBreach Алон Левієв випустив інструмент Windows Downdate, який може точково “відкотити” елементи систем Windows 10, Windows 11 та Windows Server для відкриття вже виправлених вразливостей. Про це пише Bleeping Computer.

Windows Downdate доступний у вигляді програми з відкритим вихідним кодом на мові Python та попередньо скомпільованого виконуваного файлу Windows.

Левієв також поділився численними прикладами використання, які дозволяють “відкотити” гіпервізор Hyper-V (до версії дворічної давнини), ядро Windows, драйвер NTFS і драйвер Filter Manager (до їхніх базових версій), а також інші компоненти Windows і раніше застосовані патчі безпеки.

“Ви можете використовувати цей інструмент для перехоплення оновлень Windows, щоб знизити рівень безпеки і виявити минулі вразливості в DLL, драйверах, ядрі NT, ядрі безпеки, гіпервізорі, трастлетах IUM тощо”, – пояснює дослідник.

Левієв каже, що використання цього інструмента неможливо виявити, оскільки його не можна заблокувати рішеннями для виявлення та реагування на кінцеві точки (EDR), а Windows Update продовжує повідомляти, що цільова система оновлена.

Microsoft відреагувала та радить користувачам очікувати оновлення, яке закрию цю вразливість. Також компанія просить користувачів дотримуватися рекомендацій, щоб захиститися від атак із використанням Windows Downdate.

Заходи щодо усунення цієї проблеми включають налаштування параметрів “Audit Object Access” для моніторингу спроб доступу до файлів, обмеження операцій оновлення та відновлення, використання списків контролю доступу для обмеження доступу до файлів, а також аудит привілеїв для виявлення спроб використання цієї вразливості.