Windows 驱动签名绕过漏洞补丁可用于安装内核级木马 rootkit

攻击者可以通过降级 Windows 内核组件来绕过驱动程序签名验证等安全功能，从而在完全补丁的系统上部署内核级木马。

这是通过劫持 Windows Update 更新过程来实现的。攻击者可以在已完全更新的系统中植入过时且存在漏洞的软件组件，而系统仍会显示为已完全打补丁的状态。

Windows 系统降级

SafeBreach 安全研究员 Alon Leviev 报告了这个更新劫持问题，但微软认为这并未跨越特定的安全边界，尽管管理员确实可以通过获取内核代码执行权限来实现这一点。

Leviev 将在今年的BlackHat(https://www.blackhat.com/us-24/briefings/schedule/#windows-downdate-downgrade-attacks-using-windows-updates-38963) 和 DEFCON(https://defcon.org/html/defcon-32/dc-32-speakers.html#54522) 安全会议上演示这种攻击的可行性。由于这个问题至今未修复，系统仍然容易受到降级/版本回滚攻击的影响。

研究员发布了一个名为Windows Downdate(https://www.bleepingcomputer.com/news/microsoft/windows-downdate-tool-lets-you-unpatch-windows-systems/) 的工具，可用于创建自定义的降级操作。通过使用过时的组件（如 DLL、驱动程序和 NT 内核），该工具能使表面上已完全更新的目标系统暴露在已修复的漏洞之下。

Alon Leviev(https://www.safebreach.com/blog/update-on-windows-downdate-downgrade-attacks/) 表示："我成功地让一台已打全补丁的 Windows 机器重新暴露在过去的漏洞之下，使已修复的漏洞重新变得可利用，这意味着世界上任何 Windows 机器的'已完全更新'状态都失去了意义。"

尽管内核安全性这些年来有了显著提升，Leviev 仍成功绕过了驱动程序签名验证（DSE）功能。他演示了攻击者如何加载未签名的内核驱动程序来部署木马，从而禁用安全控制并隐藏可能导致系统检测到入侵的活动。

Leviev 说："近年来，即使在管理员权限可能被攻破的假设下，内核安全性也得到了重大增强。"

虽然新的保护机制使破坏内核变得更加困难，但研究员解释说："降级内核中的组件的能力使攻击者的工作变得简单得多。"

Leviev 将他的利用方法命名为"ItsNotASecurityBoundary DSE 绕过"，这是 虚假文件不可变性缺陷 的一部分。这是 Elastic 公司的 Gabriel Landau 在研究中(http://www.elastic.co/security-labs/false-file-immutability)描述的 Windows 新漏洞类型，可用于实现内核权限的任意代码执行。

在 Landau 的报告之后，微软修补了 ItsNotASecurityBoundary 从管理员提权到内核的漏洞。然而，这并不能防止降级攻击。

针对内核的攻击

在今天发布的最新研究中，Leviev 展示了攻击者如何利用 Windows Update 过程来绕过 DSE 保护。即使在完全更新的 Windows 11 系统上，通过降级已修补的组件也能实现这一点。

这种攻击是通过替换负责执行 DSE 的 'ci.dll' 文件来实现的。攻击者使用一个未打补丁的版本来忽略驱动程序签名，从而绕过了 Windows 的保护检查。

这种替换是由 Windows Update 触发的，利用了一个双重读取条件：在 Windows 开始检查最新版本的 ci.dll 后，易受攻击的 ci.dll 副本就被加载到内存中。

这个"竞争窗口"允许易受攻击的 ci.dll 在 Windows 认为已验证文件的情况下加载，从而允许未签名的驱动程序被加载到内核中。

在下面的视频中，研究员演示了他如何通过降级攻击恢复 DSE 补丁，并在完全更新的 Windows 11 23H2 机器上利用该组件。

Leviev 还描述了禁用或绕过微软基于虚拟化的安全性（VBS）的方法。VBS 为 Windows 创建了一个隔离环境，用于保护重要资源和安全资产，如安全内核代码完整性机制（_skci.dll_）和已验证的用户凭据。

VBS 通常依赖 UEFI 锁定和注册表配置来防止未经授权的更改，但如果没有配置最高安全级别（"强制"标志），就可以通过修改特定的注册表项来禁用它。

当 VBS 部分启用时，关键的 VBS 文件（如 'SecureKernel.exe'）可以被替换为损坏的版本，这会破坏 VBS 的运行，为"ItsNotASecurityBoundary"绕过和替换 'ci.dll' 打开大门。

Leviev 的研究表明，即使有时需要较高的权限，降级攻击仍然可以通过多种途径实现。

研究员强调，终端安全工具需要密切监控降级操作，即使是那些没有跨越关键安全边界的操作。

https://www.safebreach.com/blog/update-on-windows-downdate-downgrade-attacks/