近期,SafeBreach Labs的研究人员揭露了一种名为“Windows Downdate”的新型攻击技术,该技术能够操纵Windows 11系统在更新时降级关键系统组件,使部分漏洞修复补丁失效。这一攻击原理最初于2024年8月在Black Hat USA 2024上披露,现在更多细节被公布。
“Windows Downdate”技术利用了一个名为“ItsNotASecurityBoundary”的驱动程序签名强制(DSE)绕过漏洞,允许攻击者加载未签名的内核驱动程序,并将经过验证的安全目录替换为恶意版本。例如,攻击者可以针对“ci.dll”等关键组件,将其降级到易受攻击的状态,从而获得内核级权限。这项技术是“虚假文件不变性”(FFI)新漏洞的一部分,利用了关于文件不可变性的错误假设,允许通过清除系统工作集来修改“不可变”文件。
研究人员概述了在具有不同级别虚拟化安全(VBS)保护的Windows系统中可利用漏洞的步骤,并发现了多种禁用VBS关键功能的方法,包括凭证防护和受管理程序保护的代码完整性(HVCI)等功能,甚至首次使用了UEFI锁。攻击者可以对关键操作系统组件进行自定义降级,暴露以前修补过的漏洞,使系统容易被利用。
这种攻击技术对企业构成了重大威胁,允许攻击者加载未签名的内核驱动程序、启用自定义rootkit以解除安全控制、隐藏进程并保持隐蔽性。为降低风险,企业应及时更新系统,打上最新的安全补丁,同时部署有效的端点检测和响应(EDR)解决方案,以检测和响应恶意活动,防止未经授权的访问和数据泄露。此外,使用UEFI锁定和“强制”标志启用VBS还能提供额外的保护。
转载请注明出处和本文链接
球分享
球点赞
球在看