SafeBreach mutaxassisi Alon Leviyev Windows yadrosining eski komponentlarini ishlatib, Driver Signature Enforcement kabi muhim himoya mexanizmlarini chetlab o’tish orqali to’liq yangilangan tizimlarga ham rootkitlarni joylashtirish mumkinligini aniqladi. Bu hujum Windows Update jarayonini buzish orqali amalga oshiriladi, bu esa yangilangan tizimga zaif, eski komponentlarni o’rnatishga imkon beradi.

Leviyev shuningdek, Windows Downdate deb nomlangan vositani ishlab chiqdi, bu esa tizimni sozlashga va allaqachon tuzatilgan zaifliklarga qayta sezgir qilishga imkon beradi. Bu “to’liq yangilangan” Windows tushunchasini deyarli befoyda qiladi. Bunday hujumlar “Downgrade-hujumlar” deb nomlanadi.

Ushbu usul yordamida Leviyev CVE-2024-21302 (CVSS: 6.7) deb nomlangan yangi zaiflikni aniqladi, bu esa Windows qurilmalarida, shu jumladan virtual mashinalarda imtiyozlarni oshirishga imkon beradi. Microsoft bu zaiflikni tezda tuzatdi, ammo yangilanishlarni buzish usuli o’zgarishsiz qoldi, chunki u to’g’ridan-to’g’ri xavfsizlikni buzish deb hisoblanmaydi.

Hujumchilar bu usul yordamida Driver Signature Enforcement (DSE) kabi himoya mexanizmlarini buzib, tizimga zararli drayverlarni yuklashi va o’z harakatlarini yashirishi mumkin. Virtualization-Based Security (VBS) kabi boshqa himoya mexanizmlarini ham ro’yxatdagi kalitlarni o’zgartirish orqali chetlab o’tish mumkin.

Microsoft ushbu muammolarni bartaraf etish uchun yangilanish ishlab chiqarayotganini va VBS ning eski tizim fayllarini bloklaydigan mexanizmlarni yaratayotganini aytdi. Biroq, tuzatishlarni chiqarishning aniq muddati aytilmagan.

Hozirda tashkilotlarga bu xil hujumlarga qarshi ehtiyot bo’lish va tizimlarini doimiy ravishda yangilash tavsiya etiladi.