新型Windows驱动签名绕过技术允许安装内核级rootkit

在最近举办的BlackHat和DEFCON安全会议上，SafeBreach的安全研究员Alon Leviev揭露了一种创新的Windows驱动签名绕过技术。这项技术允许攻击者通过降级Windows内核组件至旧版本，来部署内核级别的rootkit，从而在目标计算机上获得深度控制。

这种降级攻击手法通过操纵Windows更新过程来实现。攻击者能够在不影响操作系统显示为完全修补状态的情况下，引入过时且易受攻击的Windows内核组件。尽管微软认为这种攻击没有越过其设定的安全界限，Leviev的研究却表明，通过获得内核代码的执行权限，这种攻击是完全可行的。为了证明这一点，Leviev开发了一个名为“Windows Downdate”的工具，该工具可以创建自定义的降级，使看似完全更新的系统重新面临已知漏洞的威胁。这样，攻击者就可以利用过时的组件，例如DLL、驱动程序和NT内核，对系统进行攻击。

Leviev在会议上强调，他能够让一台已经完全修补的Windows机器重新变得容易受到过去漏洞的攻击，这实际上使得“完全修补”这一概念在任何Windows机器上都变得毫无意义。尽管Windows内核安全性在过去几年有了显著的提升，Leviev还是成功地绕过了驱动签名强制执行（DSE）特性。他展示了攻击者如何加载未签名的内核驱动程序以部署rootkit恶意软件，这种软件能够禁用安全控制并隐藏可能暴露入侵行为的活动。

Leviev还亲自演示了如何在具有管理员权限的目标机器上，通过降级已修补的组件来绕过DSE保护，即使是在完全更新的Windows 11系统上。攻击者可以通过替换执行DSE的‘ci.dll’文件，用一个忽略驱动程序签名的旧版本，从而绕过Windows的安全检查。一旦组件被降级到易受攻击的版本，机器就需要像经历正常更新过程一样重新启动。

此外，Leviev还介绍了如何禁用或绕过微软的基于虚拟化的安全（VBS）。VBS为Windows创建了一个隔离的环境，用以保护关键资源和安全资产，例如安全内核代码完整性机制（skci.dll）和经过身份验证的用户凭据。然而，如果VBS没有配置为最大安全性（“强制性”标志），攻击者可以通过有针对性的注册表键修改来禁用它。

参考链接：

https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/

原文始发于微信公众号（白泽安全实验室）：新型Windows驱动签名绕过技术允许安装内核级rootkit