На конференции Black Hat USA в 2024 году исследователь SafeBreach Алон Леваев представил атаку, которая манипулирует XML-файлом списка действий для запуска инструмента «Windows Downdate», который обходит все этапы проверки Windows и Доверенный установщик. Этот инструмент также может манипулировать Windows, чтобы подтвердить, что система полностью обновлена.

Процесс обновления Windows ранее был взломан. Выпущенный в 2023 году набор BlackLotus UEFI Bootkit включает возможности перехода на более раннюю версию, использующие уязвимости в архитектуре Центра обновления Windows. Подобно методу, продемонстрированному Леваевым, BlackLotus Bootkit понижает версию различных системных компонентов, чтобы обойти блокировки VBS UEFI. Затем злоумышленник может использовать атаки «нулевого дня» с повышением привилегий на ранее обновленную систему. В сообщении в блоге SafeBreach Леваев заявил: «Я обнаружил несколько способов отключить безопасность на основе виртуализации Windows (VBS), включая такие ее функции, как Credential Guard и целостность кода, защищенного гипервизором (HVCI), даже если они применяются с помощью блокировок UEFI. Насколько мне известно, это первый случай обхода блокировок UEFI VBS без физического доступа».

Левиев проинформировал Microsoft об уязвимостях в феврале этого года. Однако Microsoft все еще разрабатывает обновление безопасности для отзыва устаревших и неисправленных систем VBS. Microsoft также планирует выпустить руководство, которое «предоставит клиентам меры по смягчению последствий или соответствующие рекомендации по снижению рисков по мере их появления». Руководство необходимо, поскольку, по словам Леваева, эти атаки необнаружимы и невидимы. Чтобы узнать больше или увидеть эксплойт в действии, посетите ресурсы ниже.