安全外联实验室(SafeBreach Labs)公布了 “Windows降级 ”新攻击方法,该方法可通过降级系统组件和恢复DSE绕过等旧/打过补丁的漏洞来破坏Windows 11。
在最近的一项研究中,SafeBreach 实验室的研究员 Alon Leviev 曝光了一种新的攻击技术,这种技术可能会危及已打补丁的 Windows 11 系统的安全。这种技术被称为 “Windows 降级”(Windows Downdate),涉及操纵 Windows 更新进程来降级关键系统组件,从而有效地复活先前已打补丁的漏洞。
该攻击最初于 2024 年 8 月在 Black Hat USA 2024 和 DEF CON 32 上报告。研究人员现在公布了更多细节,以加深公众对该攻击的了解。
其中一个漏洞是 “ItsNotASecurityBoundary ”驱动程序签名执行(DSE)绕过,允许攻击者加载未签名的内核驱动程序。该绕过漏洞允许攻击者用恶意版本替换已验证的安全目录,从而加载未签名的内核驱动程序。
根据SafeBreach在周六发布之前与Hackread.com共享的博文,通过利用Windows降级,攻击者可以锁定特定组件,如解析安全目录所必需的 “ci.dll ”模块,并将其降级到易受攻击的状态,从而利用这一旁路并获得内核级权限。
需要说明的是,“ItsNotASecurityBoundary ”DSE旁路属于一类新漏洞,被称为 “虚假文件不变性”(FFI),它利用了对文件不变性的不正确假设,允许通过清除系统工作集来修改 “不可变 ”文件。
Leviev 概述了在具有不同级别虚拟化安全(VBS)保护的 Windows 系统中利用漏洞的步骤。他们确定了多种禁用 VBS 关键功能的方法,包括凭证防护(Credential Guard)和管理程序保护代码完整性(HVCI)等功能,甚至首次使用了 UEFI 锁。
“据我所知,这是第一次在没有物理访问的情况下绕过 VBS 的 UEFI 锁。因此,我能够让一台打了完全补丁的 Windows 机器易受过去漏洞的影响,使已修复的漏洞变成未修复的漏洞,并使 “打了完全补丁 ”这一术语在世界上任何一台 Windows 机器上变得毫无意义。”
阿隆-列维夫
要利用没有 UEFI 锁的系统,攻击者必须通过修改注册表设置来禁用 VBS。一旦禁用,他们就可以将 ci.dll 模块降级到有漏洞的版本,并利用 “ItsNotASecurityBoundary ”漏洞。
对于带有 UEFI 锁的系统,攻击者必须使 SecureKernel.exe 文件失效,才能绕过 VBS 保护。然而,带有 UEFI 锁和 “强制 ”标志的 VBS 是最安全的配置,即使锁被绕过,VBS 也不会被禁用。研究人员解释说,目前还没有已知的方法可以在没有物理访问的情况下利用具有这种保护级别的系统。
尽管如此,这种 Windows Update 接管功能仍对企业构成了重大威胁,因为它允许攻击者加载未签名的内核驱动程序、启用自定义 rootkit 以解除安全控制、隐藏进程并保持隐身。
攻击者可以对关键操作系统组件(包括 DLL、驱动程序甚至 NT 内核)进行自定义降级。通过降级这些组件,攻击者可以暴露以前修补过的漏洞,使系统容易被利用。
为降低风险,企业应及时为系统更新最新的安全补丁,以解决漏洞问题。必须部署强大的端点检测和响应(EDR)解决方案,以检测和响应恶意活动,包括降级尝试,并实施强大的网络安全措施,防止未经授权的访问和数据泄露。此外,使用 UEFI 锁定和 “强制 ”标志启用 VBS 还能提供额外的保护,防止攻击。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容