Windows 更新有时可能会因补丁错误而适得其反,但在大多数情况下,它的目的是让我们免受最新威胁的侵害。微软定期推出新补丁来解决潜在的漏洞。但是,如果有一种工具可以撤消每个 Windows 更新,并使您的 PC 暴露于 Microsoft 认为已经修复的所有威胁,该怎么办?坏消息:这样的工具现在已经存在,它被称为 Windows Downdate。
不过别担心。您可以免受 Windows Downdate 的影响 — 至少目前是这样。该工具是由 SafeBreach 研究员 Alon Leviev 开发的,作为概念验证,尽管它的潜力非常可怕,但它是出于善意而制作的,作为“白帽黑客”的一个例子,研究人员试图在“白帽黑客”中在恶意威胁者首先发现漏洞之前。
就 Windows Downdate 而言,如果落入坏人之手,其影响可能是惊人的。该漏洞利用 Windows 更新中的缺陷来安装某些尚未修补的旧更新。 Leviev 使用该工具降级动态链接库 (DLL)、驱动程序,甚至 NT 内核(Windows 的核心组件)。这是在绕过所有验证的情况下实现的,其结果是完全不可见且不可逆转的。
“我能够让一台完全打过补丁的 Windows 机器容易受到过去数千个漏洞的影响,将已修复的漏洞变成零日漏洞,并使‘完全打过补丁’这个术语在世界上任何 Windows 机器上都毫无意义,”Leviev 在SafeBreach帖子中说道。 “降级后,操作系统报告已完全更新,无法安装未来的更新,而恢复和扫描工具无法检测到问题。”
Leviev 还发现 Windows 中的整个虚拟化堆栈也容易受到此漏洞的影响;研究人员成功降级了 Credential Guard 的独立用户模式进程、Hyper-V 的虚拟机管理程序和安全内核。 Leviev 甚至找到了关闭 Windows 中基于虚拟化的安全性 (VBS) 的“多种方法”,即使强制执行 UEFI 锁定,这仍然是可能的。
“据我所知,这是 VBS 的 UEFI 锁第一次在没有物理访问的情况下被绕过,”Leviev 说。
Windows Downdate 基本上可以撤消曾经创建的每个安全补丁,然后欺骗 PC 认为一切正常,因为它悄悄地将其暴露于数百种不同的威胁之下。像这样的工具可能会对任何操作系统造成严重破坏,Leviev 怀疑其他操作系统,例如 MacOS 和 Linux,也可能面临风险。
好消息是,Leviev 打算保护 Windows 用户免受此类工具的侵害,研究人员于 2024 年 2 月向 Microsoft 报告了他的发现。Microsoft 发布了两个 CVE 作为回应( CVE-2024-21302和CVE-2024-38202 )似乎正在努力修复此漏洞。我们希望微软能够更快地修补这个漏洞,而不是不道德的黑客利用它来为自己谋取利益。