在 2024 年黑帽美国会议上,SafeBreach 研究员 Alon Leviev 提出了一种攻击,该攻击操纵操作列表 XML 文件来推送绕过所有 Windows 验证步骤和可信安装程序的“Windows Downdate”工具。该工具还可以操纵Windows来确认系统是否已完全更新。
Windows更新进程之前已被攻破。 BlackLotus UEFI Bootkit 于 2023 年发布,包括利用 Windows 更新架构中的漏洞的降级功能。与 Leviev 展示的方法类似,BlackLotus Bootkit 会降级各种系统组件以绕过 VBS UEFI 锁。然后,威胁行为者可以对以前最新的系统使用权限升级“零日”攻击。在 SafeBreach 的博客文章中,Leviev 表示:“我发现了多种禁用基于 Windows 虚拟化的安全性 (VBS) 的方法,包括其 Credential Guard 和虚拟机管理程序保护的代码完整性 (HVCI) 等功能,即使使用 UEFI 锁强制执行也是如此。据我所知,这是 VBS 的 UEFI 锁第一次在没有物理访问的情况下被绕过。”
Leviev 在今年 2 月向微软通报了这些漏洞。不过,微软仍在开发安全更新,以撤销过时且未打补丁的 VBS 系统。微软还计划发布一份指南,“为客户提供缓解措施或相关风险降低指导。”莱维耶夫认为,指导是必要的,因为这些攻击是无法察觉和无形的。要了解更多信息或查看实际利用情况,请访问以下资源。
以上是旧即新:Windows 漏洞允许无法检测的降级攻击的详细内容。更多信息请关注PHP中文网其他相关文章!
