Windows is kwetsbaar voor een downgrade-aanval, waarbij een aanvaller die toegang tot een systeem heeft via Windows Update aanwezige patches permanent kan verwijderen. Het besturingssysteem denkt na de aanval, die niet door beveiligingssoftware is te detecteren, dat het up-to-date is. Microsoft werkt aan updates voor de twee kwetsbaarheden, die worden aangeduid als CVE-2024-21302 en CVE-2024-38202.

De downgrade-aanval van onderzoeker Alon Leviev van securitybedrijf SafeBreach, die hij Windows Downdate noemt, bestaat uit twee kwetsbaarheden. Eén in de Windows Update Stack en één in de Windows Secure Kernel Mode. In beide gevallen gaat het om 'elevation of privilege' kwetsbaarheden, waarmee een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen.

Zodoende kan een gebruiker of aanvaller Windows Update de opdracht geven om eerder geïnstalleerde beveiligingsupdates te verwijderen. Zo is het mogelijk om kwetsbare DLL-bestanden, drivers en kernelversies op een eerder up-to-date versie van het besturingssysteem te installeren. De aanval is volgens Leviev niet te detecteren door endpoint detection en response oplossingen of recovery en scanning tools. Daarnaast is de aanval ook niet zichtbaar en permanent, waardoor uitgevoerde downgrades blijvend zijn.

Microsoft werd in februari van dit jaar over de problemen ingelicht en bracht gisteren twee beveiligingsbulletins uit. Daarin staat dat het techbedrijf aan beveiligingsupdates werkt om de twee kwetsbaarheden te verhelpen. Wanneer Microsoft de patches beschikbaar maakt is niet bekend. Wel geeft het techbedrijf verschillende acties die beheerders kunnen uitvoeren om het risico op misbruik te beperken.