​研究者揭露微软 Windows 内核的操作系统降级漏洞

近期，SafeBreach Labs的研究人员揭露了一种名为“Windows Downdate”的新型攻击技术，该技术能够操纵Windows 11系统在更新时降级关键系统组件，使部分漏洞修复补丁失效。这一攻击原理最初于2024年8月在Black Hat USA 2024上披露，现在更多细节被公布。

“Windows Downdate”技术利用了一个名为“ItsNotASecurityBoundary”的驱动程序签名强制（DSE）绕过漏洞，允许攻击者加载未签名的内核驱动程序，并将经过验证的安全目录替换为恶意版本。例如，攻击者可以针对“ci.dll”等关键组件，将其降级到易受攻击的状态，从而获得内核级权限。这项技术是“虚假文件不变性”（FFI）新漏洞的一部分，利用了关于文件不可变性的错误假设，允许通过清除系统工作集来修改“不可变”文件。

研究人员概述了在具有不同级别虚拟化安全（VBS）保护的Windows系统中可利用漏洞的步骤，并发现了多种禁用VBS关键功能的方法，包括凭证防护和受管理程序保护的代码完整性（HVCI）等功能，甚至首次使用了UEFI锁。攻击者可以对关键操作系统组件进行自定义降级，暴露以前修补过的漏洞，使系统容易被利用。

这种攻击技术对企业构成了重大威胁，允许攻击者加载未签名的内核驱动程序、启用自定义rootkit以解除安全控制、隐藏进程并保持隐蔽性。为降低风险，企业应及时更新系统，打上最新的安全补丁，同时部署有效的端点检测和响应（EDR）解决方案，以检测和响应恶意活动，防止未经授权的访问和数据泄露。此外，使用UEFI锁定和“强制”标志启用VBS还能提供额外的保护。

转载请注明出处和本文链接