SafeBreach Labs披露了一种名为“Windows Downdate”的新型攻击技术,该技术通过降级Windows系统组件来利用已修补的漏洞。这种攻击利用了“ItsNotASecurityBoundary”驱动程序签名强制(DSE)绕过,允许攻击者加载未签名的内核驱动程序,从而获得内核级权限。攻击者可以通过修改注册表设置或使SecureKernel.exe文件无效来禁用基于虚拟化的安全(VBS),进而降级关键系统组件,如DLL、驱动程序甚至NT内核,以暴露先前已修补的漏洞。
降级攻击(也称为版本回滚攻击)是一种旨在将免疫的、完全最新的软件恢复到旧版本的攻击。它们允许恶意行为者暴露和利用之前修复/修补的漏洞来破坏系统并获得未经授权的访问。
在8月份的黑帽大会,研究者披露表他们的研究成果,称成功降级了关键操作系统组件,包括DLL、驱动程序,甚至NT 内核。之后,操作系统报告已完全更新,无法安装未来的更新,恢复和扫描工具也无法检测到问题。研究者还把目标设得更高,发现整个虚拟化堆栈也处于危险之中。成功降级了Hyper-V的虚拟机管理程序、安全内核和Credential Guard 的隔离用户模式进程,以暴露过去的特权升级漏洞。
![Windows降级攻击:所有更新补丁打回原型]( "Windows降级攻击:所有更新补丁打回原型")
此攻击对已全面修补的Windows 11系统构成威胁,能够使“完全修补”的标签失去意义。攻击者可以利用这一技术加载未签名的内核驱动程序、启用自定义rootkit,破坏安全控制、隐藏进程并保持隐身,对组织安全构成重大威胁。
为了防御此类攻击,组织应保持系统的最新安全补丁,部署强大的端点检测和响应(EDR)解决方案,以及实施严格的网络安全措施。此外,启用带有UEFI锁定和“强制”标志的VBS可以提供额外的保护。尽管对于具有UEFI锁定的系统,攻击者在没有物理访问的情况下难以利用,但这一攻击技术仍然对没有UEFI锁或VBS配置不严格的系统构成严重风险。
这项研究旨在探索Windows更新过程,以确定如何操纵它以发起降级攻击。研究者能够展示如何使完全修补的Windows计算机容易受到数千个过去漏洞的影响,将已修复的漏洞变成零日漏洞,并使世界上任何 Windows 计算机上的“完全修补”一词都变得毫无意义。SafeBreach Labs认为,这不仅对世界上使用最广泛的桌面操作系统 Microsoft Windows具有重大影响,而且对可能容易受到降级攻击的其他操作系统供应商也具有重大影响。
1、https://hackread.com/hackers-downgrade-windows-exploit-patched-flaws/
2、https://www.safebreach.com/blog/downgrade-attacks-using-windows-updates/
原文始发于微信公众号(网空闲话plus):Windows降级攻击:所有更新补丁打回原型
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3319960.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论