مایکروسافت برای امن نگه داشتن ویندوز از چندین روش محافظتی استفاده میکند. یکی از این روش ها انتشار بروزرسانی های ماهانه به نام "پچ توزدی" است که برای رفع مشکلات امنیتی طراحی شدهاند. علاوه بر این، مایکروسافت "بوت امن" (Secure Boot) را برای ویندوز ۱۱ اجباری کرده تا از بروزرسانی امن فریم ورها اطمینان حاصل کند.
با این حال، با وجود همه این اقدامات، هکرها و مجرمان سایبری همیشه به دنبال راه هایی برای دور زدن این محافظت ها هستند. سال گذشته، آسیب پذیری بلک لوتوس (BlackLotus) در بوت امن کشف شد که میتوانست بوت امن، VBS (امنیت مبتنی بر مجازی سازی) و HVCI (یکپارچگی کد محافظت شده توسط هایپروایزر) را در سیستم های کاملا بروز دور بزند.
یک محقق امنیتی به نام آلون لویف تصمیم گرفت بررسی کند که آیا محافظت های مشابهی برای فرآیند بروزرسانی ویندوز وجود دارد یا خیر. متاسفانه برای مایکروسافت و کاربران ویندوز، لویف متوجه شد که چنین محافظتی وجود ندارد.
لویف ابزاری به نام "ویندوز داوندیت" (Windows Downdate) توسعه داد که میتواند فرآیند بروزرسانی ویندوز را کنترل کرده و تغییرات مخرب، نامرئی، دائمی و غیرقابل بازگردانی در اجزای مهم سیستم عامل مانند DLLها، درایورها و حتی کرنل ویندوز ایجاد کند.
این محقق در کنفرانس های بلک هت و DEF CON نشان داد که حتی پس از حمله داوندیت، ویندوز گزارش میدهد که کاملا بروز است و نمیتواند بروزرسانی های آینده را نصب کند. همچنین ابزار های بازیابی قادر به تشخیص هیچ مشکلی نیستند.
در واقع، کاربری که سیستم او به این شکل آلوده شده است، هیچ اطلاعی از اتفاقات نخواهد داشت. با این حال، نکته مثبت این است که این حمله از نوع محلی است و مهاجم برای انجام آن نیاز به دسترسی فیزیکی به سیستم شما دارد.
درایور کرنل AFD.SYS در ویندوز ۱۱ نسخه ۲۳H۲ به نسخه قدیمی تر تغییر داده شده است.
خبر خوب این است که مایکروسافت قبل از نمایش عمومی این آسیب پذیری از آن مطلع شده و آن را با شناسه های CVE-2024-21302 و CVE-2024-38202 در وب سایت MSRC خود ردیابی میکند.