近期，研究者发现针对Microsoft Windows内核的操作系统降级漏洞。这种攻击成为Windows downdate技术。它利用了Windows更新过程的漏洞，允许攻击者在更新系统时降级关键系统组件，让一些已修补的漏洞修复补丁失效。更具体就是这种攻击能降级动态链接库，驱动程序甚至NT等关键操作系统组件，包括虚拟化安全的整个虚拟化堆栈。

在Black Hat 2024大会上研究者展示了这一研究成果，并在随后的详细报告中提供了更多细节 。他发现可以入侵Windows Update更新流程，降低DLL和NT内核等操作系统关键组件的安全级别。利用这些零日漏洞，可以降级操作系统的安全内核和隔离用户模式进程，在Black Hat2024上研究人员公布了这一成果，时候详细报告中还提供了很多详细细节。如发现了可以入侵Windows update更新流程，降低DLL和NT内核等操作系统关键组件的安全级别。这些零日漏洞，可降级操作系统安全内核和隔离用户模式进程，以及Hyper-V的 hypervisor，从而暴露过去的权限升级漏洞。

这种降级攻击利用了两个零日漏洞，追踪编号分别为CVE-2024-38202和CVE-2024-21302。攻击者可以利用这些漏洞，降级Credential Guard的安全内核和隔离用户模式进程以及Hyper-V的 hypervisor，从而暴露过去的权限升级漏洞。攻击者可以创建恶意更新，并通过用旧版本替换Windows系统文件来重新引入安全漏洞 。

微软的官方已经发布关于漏洞相关公告，含缓解建议。微软官方标识目前还没有相关证据说明有人利用这些漏洞发起攻击，建议安全更新发布之前，采取缓解建议来帮助降低被利用的风险。微软还发布了KB5042562，提供了阻止回滚Virtualization-based Security (VBS)相关安全更新的指南，这可能与上述降级攻击有关 。这表明微软正在积极应对这些安全问题，并采取措施保护用户免受潜在攻击的影响。

微软针对CVE-2024-38202和CVE-2024-21302漏洞的修复措施包括：发布安全补丁，已于2024年10月8日提供下载；建议更新WinRE以防范漏洞，具体步骤在CVE的FAQ中；提供了缓解措施，帮助无法立即更新的用户减少风险；建议用户进行权限审计，实施访问控制以降低风险；在必要时，提供指导关闭VBS以防止攻击；强调设计审查，确保系统安全，特别是防范降级攻击；强调监控和检测降级行为，即使它们未跨越安全边界。用户应尽快应用更新，遵循微软指导保护系统安全。