Windows 安全补丁对于保护您的 PC 免受威胁至关重要。但降级攻击是绕过微软补丁的一种方式,一位安全研究人员着手展示这些攻击的致命性。
SafeBreach 安全研究员 Alon Leviev 在公司博客文章中提到,他们创建了一种名为 Windows Downdate 工具作为概念验证。该工具对 Windows Server 系统以及 Windows 10 和 11 组件进行持久且不可逆转的降级。
Leviev 解释说,他的工具(和类似的威胁)执行版本回滚攻击,“旨在将免疫的、完全最新的软件恢复到旧版本。它们允许恶意行为者暴露和利用之前修复/修补的漏洞来破坏系统并获得未经授权的访问。”
他还提到,您可以使用该工具将 PC 暴露于源自驱动程序、DLL、安全内核、NT 内核、虚拟机管理程序等的旧漏洞。 Leviev 随后在 X(以前称为 Twitter)上发布了以下内容:“除了自定义降级之外,Windows Downdate 还提供了易于使用的恢复 CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 和 CVE-2023-21768 补丁的使用示例。 PPLFault,以及降级虚拟机管理程序、内核和绕过 VBS 的 UEFI 锁的示例。”
如果您还没有查看过,Windows Downdate 工具已上线!您可以使用它来接管 Windows 更新,以降级并暴露过去源自 DLL、驱动程序、NT 内核、安全内核、Hypervisor、IUM trustlet 等的漏洞! https://t.co/59DRIvq6PZ
—阿隆·莱维耶夫 (@_0xDeku) 2024 年 8 月 25 日
还令人担忧的是,该工具无法检测到,因为它无法被端点检测和响应 (EDR) 解决方案阻止,并且您的 Windows 计算机将继续告诉您它是最新的,即使它不是最新的。他还发现了关闭基于 Windows虚拟化的安全性 (VBS) 的各种方法,包括管理程序保护的代码完整性 (HVCI) 和 Credential Guard。
微软于8月7日发布了安全更新(KB5041773)来修复CVE-2024-21302 Windows安全内核模式权限升级缺陷以及CVE-2024-38202的补丁。微软还发布了一些 Windows 用户可以采取的确保安全的提示,例如配置“审核对象访问”设置来扫描文件访问尝试。这一新工具的发布展示了电脑如何容易受到各种攻击,以及在网络安全方面永远不应该放松警惕。
好消息是,我们现在可以高枕无忧了,因为该工具是作为概念验证而创建的,是“白帽黑客”的一个例子,可以在威胁行为者之前发现漏洞。此外,Leviev 于 2024 年 2 月将他的发现交给了微软,希望这家软件巨头能够尽快提供必要的修复。