A Microsoft está desenvolvendo atualizações de segurança para abordar duas vulnerabilidades que podem ser exploradas para realizar ataques de downgrade contra a arquitetura de atualização do Windows. Essas vulnerabilidades permitem substituir versões atuais de arquivos do sistema operacional por versões mais antigas e vulneráveis.

O pesquisador Leviev detalhou uma ferramenta chamada Windows Downdate, que pode transformar uma “máquina Windows totalmente atualizada em suscetível a milhares de vulnerabilidades passadas, transformando vulnerabilidades corrigidas em zero days e tornando o termo ‘totalmente atualizado’ sem sentido em qualquer máquina Windows do mundo.”

A ferramenta é capaz de assumir o controle do processo de atualização do Windows para realizar downgrades totalmente indetectáveis, invisíveis, persistentes e irreversíveis em componentes críticos do sistema operacional, permitindo a elevação de privilégios e a evasão de recursos de segurança.

Além disso, o Windows Downdate consegue contornar etapas de verificação, como verificação de integridade e aplicação do Trusted Installer, possibilitando efetivamente o downgrade de componentes críticos do sistema operacional, incluindo bibliotecas de vínculo dinâmico (DLLs), drivers e o kernel NT.

Esses downgrades têm um impacto adicional, pois o sistema operacional reporta que está totalmente atualizado, ao mesmo tempo em que impede a instalação de futuras atualizações e inibe a detecção por ferramentas de recuperação e varredura.