在2024 年Black Hat USA 會議上，SafeBreach 研究員Alon Leviev 提出了一種攻擊，該攻擊操縱操作列表XML 文件來推送“Windows Downdate”工具，該工具繞過所有Windows 驗證步驟和值得信賴的安裝人員。該工具還可以操縱 Windows 來確認系統已完全更新。

Windows 更新程序之前已被洩露。 BlackLotus UEFI Bootkit 於 2023 年發布，包括利用 Windows 更新架構中的漏洞的降級功能。與 Leviev 展示的方法類似，BlackLotus Bootkit 會降級各種系統元件以繞過 VBS UEFI 鎖。然後，威脅行為者可以對先前最新的系統使用權限升級「零時差」攻擊。在SafeBreach 的部落格文章中，Leviev 表示：「我發現了多種禁用基於Windows 虛擬化的安全性(VBS) 的方法，包括Credential Guard 和虛擬機器管理程式保護的程式碼完整性(HVCI) 等功能，即使使用UEFI 鎖強制執行也是如此。漏洞。不過，微軟仍在開發安全性更新，以撤銷過時且未修補的 VBS 系統。微軟還計劃發布一份指南，「為客戶提供緩解措施或相關風險降低指南」。萊維耶夫認為，指導是必要的，因為這些攻擊是無法被偵測和無形的。如欲了解更多資訊或查看實際利用情況，請造訪以下資源。