研究人员呼吁关注Windows 更新架构中存在的软件降级（回滚）攻击漏洞

SafeBreach Labs 研究员 Alon Leviev 呼吁紧急关注微软 Windows 更新架构中的主要漏洞，并警告恶意黑客可以发起软件降级攻击，让全球任何 Windows 系统的“完全修补”变得毫无意义。

在拉斯维加斯举行的黑帽大会上，Leviev 在一次备受关注的演讲中展示了他如何接管 Windows 更新进程，从而对关键操作系统组件进行自定义降级、提升权限以及绕过安全功能。

Leviev 说：“我能够让一台完全修补过的 Windows 机器受到过去数千个漏洞的攻击，将已修复的漏洞变成零日漏洞。”

这位以色列研究人员表示，他找到了一种操纵操作列表 XML 文件的方法，以推送“Windows Downdate”工具，该工具可绕过所有验证步骤，包括完整性验证和受信任安装程序强制执行。

在演示之前接受SecurityWeek采访时，Leviev 表示该工具能够降级基本操作系统组件，导致操作系统错误地报告其已完全更新。

降级攻击（也称为版本回滚攻击）将免疫的、完全最新的软件恢复为具有已知可利用漏洞的旧版本。

Leviev 表示，在发现BlackLotus UEFI Bootkit后，他开始检查 Windows 更新，该 Bootkit 还包含一个软件降级组件，并在 Windows 更新架构中发现了几个漏洞，可以降级关键操作组件，绕过基于 Windows 虚拟化的安全性 (VBS) UEFI 锁，并暴露虚拟化堆栈中过去的特权提升漏洞。

Leviev 表示，SafeBreach Labs 于今年 2 月向微软报告了这些问题，并在过去六个月中努力帮助缓解该问题。

微软发言人告诉《安全周刊》，该公司正在开发一个安全更新，该更新将撤销过期、未打补丁的 VBS 系统文件，以减轻威胁。发言人补充说，由于阻止如此大量文件的复杂性，需要进行严格的测试以避免集成失败或回归。

微软计划在周三 Leviev 的黑帽演讲中发布 CVE，并“将为客户提供缓解措施或相关风险降低指导”，发言人补充道。目前尚不清楚何时发布全面补丁。

Leviev 还展示了针对 Windows 内虚拟化堆栈的降级攻击，该攻击利用了设计缺陷，允许较低特权的虚拟信任级别/环更新驻留在更高特权的虚拟信任级别/环中的组件。

他将软件降级回滚描述为“不可检测的”和“不可见的”，并警告说，这次黑客攻击的影响可能超出 Windows 操作系统。

参考链接：

https://www.securityweek.com/safebreach-sounds-alarm-on-windows-update-flaws-allowing-undetectable-downgrade-attacks/

讲述普通人能听懂的安全故事