点击上方蓝字关注我们吧~
安全研究人员在 Windows 11 的核心安全功能中发现了漏洞,这些漏洞可能允许攻击者绕过多种保护机制并在内核级别实现任意代码执行。
受影响的安全组件包括基于虚拟化的安全性 (VBS) 和受虚拟机监控程序保护的代码完整性 (HVCI),它们在 Windows 11 中默认启用。
VBS 创建一个独立的内存环境,该环境充当操作系统的信任根,而 HVCI 可防止将未经授权的驱动程序和系统文件加载到系统内存中。
研究人员证明,任意指针取消引用漏洞可以转化为强大的读/写原语,从而实现不会触发传统安全控制的纯数据攻击。此技术允许攻击者:
-
提升令牌权限
-
交换 Token 地址
-
禁用 EDR 内核回调
-
修改进程保护级别
该漏洞利用首先将任意指针取消引用漏洞转换为任意读/写原语。这种转换允许攻击者在不注入可执行代码的情况下操纵内核内存,绕过 HVCI 对未签名代码执行的限制。通过获得对内核内存的控制权,攻击者可以执行纯数据攻击,例如:
-
通过修改令牌结构来提升权限。
-
禁用终端节点检测和响应 (EDR) 回调。
-
为特定过程操作受保护的过程灯 (PPL) 功能。
这些攻击利用 Windows 在其内核进程中放置的固有信任,使攻击者能够以提升的权限进行操作或在未被发现的情况下禁用安全机制。
研究人员使用 VMware 记录了一个概念验证环境,该环境演示了该漏洞。设置需要特定的配置步骤:
-
在主机的 Core isolation 设置中禁用 Memory integrity (内存完整性)。
-
在 VMware 的虚拟机设置中启用 VBS 支持。
-
修改 VM 的 UEFI 安全启动设置,同时保持 VBS 功能。
-
在来宾操作系统中重新启用内存完整性。
Microsoft 的回应
虽然 Microsoft 已经修补了 Windows 11 24H2 中的多个内核地址泄漏漏洞,但具有管理权限的用户仍然可以利用其中一些漏洞。
该漏洞影响了 Windows 的多个版本,包括:
-
Windows 11 21H2 及更高版本
-
Windows Server 2016 到 2022
-
各种平台,包括基于 x86、x64 和 ARM64 的系统
该公司继续加强其安全功能,VBS 和 HVCI 在防范复杂的恶意软件攻击方面发挥着至关重要的作用。
“这一发现凸显了保护现代操作系统免受纯数据攻击的持续挑战,”研究团队指出。“即使在 Windows 11 中默认启用了高级安全功能,坚定的攻击者仍然可以找到在不触发传统保护机制的情况下操纵系统行为的方法。”
这些发现强调了在内置操作系统保护之外保持全面安全措施的重要性,因为即使是像 VBS 这样的复杂功能也有可能通过创造性的漏洞利用技术来规避。
来源:cybersecuritynews
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):绕过 Windows 11 安全功能,可以以在内核模式下执行任意代码漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论