SafeBreach Labs 公布了“Windows Downdate”，这是一种新的攻击方法，它通过降级系统组件并恢复 DSE 绕过等旧的/已知的漏洞来危害 Windows 11。

在最近的一项研究中，SafeBreach Labs 研究员 Alon Leviev 揭露了一种新的攻击技术，该技术可能会危及已全面修补的 Windows 11 系统的安全性。这种技术被称为 Windows Downdate，涉及操纵Windows 更新过程以降级关键系统组件，从而有效地恢复先前修补的漏洞。

该攻击最初于 2024 年 8 月在Black Hat USA 2024和DEF CON 32上被报道。研究人员现已公布更多细节，以增进公众对此次攻击的了解。

研究人员公开了演示视频

其中一个漏洞是“ItsNotASecurityBoundary”驱动程序签名强制 (DSE) 绕过，它允许攻击者加载未签名的内核驱动程序。此绕过允许攻击者用恶意版本替换经过验证的安全目录，从而能够加载未签名的内核驱动程序。

根据 SafeBreach于周六发布之前分享的博客文章，通过利用 Windows Downdate，攻击者可以攻击特定组件（例如解析安全目录所必需的“ci.dll”模块），并将其降级到易受攻击的状态，从而能够利用此绕过漏洞并获得内核级权限。

“ ItsNotASecurityBoundary ” DSE 绕过属于一类名为“虚假文件不变性”（FFI）的新缺陷，它利用对文件不变性的错误假设，允许通过清除系统的工作集来修改“不可变”文件。

Leviev 概述了利用不同级别基于虚拟化的安全 (VBS) 保护的 Windows 系统漏洞的步骤。他们首次发现了多种禁用 VBS 关键功能的方法，包括 Credential Guard 和 Hypervisor 保护的代码完整性 (HVCI) 等功能，甚至首次使用了 UEFI 锁。

攻击者在无需物理访问的情况下绕过 VBS 的 UEFI 锁，可以让一台完全修补的 Windows 机器受到过去漏洞的攻击，使已修复的漏洞变成未修复漏洞，并使世界上任何 Windows 机器上的“完全修补”一词都变得毫无意义。

要利用没有 UEFI 锁的系统，攻击者必须通过修改注册表设置来禁用 VBS。禁用后，他们可以将 ci.dll 模块降级为易受攻击的版本并利用“ItsNotASecurityBoundary”漏洞。

对于具有 UEFI 锁定的系统，攻击者必须使 SecureKernel.exe 文件无效才能绕过 VBS 保护。

具有 UEFI 锁定和“强制”标志的 VBS 是最安全的配置，即使绕过锁定也不会禁用 VBS。研究人员解释说，目前还没有已知的方法可以在没有物理访问的情况下利用具有此级别保护的系统。

Windows 更新接管功能允许攻击者加载未签名的内核驱动程序、启用自定义 rootkit 来破坏安全控制、隐藏进程并保持隐身，对组织构成了重大威胁。

攻击者可以针对关键操作系统组件（包括 DLL、驱动程序，甚至 NT 内核）进行自定义降级攻击。通过降级这些组件，攻击者可以暴露之前已修补的漏洞，使系统容易受到攻击。

为了降低风险，组织应使用最新的安全补丁来修复系统漏洞。部署强大的端点检测和响应 (EDR) 解决方案来检测和响应恶意活动（包括降级尝试）至关重要，并实施强大的网络安全措施以防止未经授权的访问和数据泄露。此外，启用带有 UEFI 锁定和“强制”标志的 VBS 可以提供额外的攻击保护。

参考SafeBreach的博客文章：

https://www.safebreach.com/blog/update-on-windows-downdate-downgrade-attacks/

新闻链接：

https://hackread.com/hackers-downgrade-windows-exploit-patched-flaws/