服务器架设-研究者揭露微软 Windows 内核的操作系统降级漏洞
最近,安全研讨人员发现了一种新式进犯技术,能够绕过微软的驱动程序签名强制履行(DSE),乃至在彻底修补的 Windows 体系上施行操作体系降级进犯。SafeBreach 的研讨员 Alon Leviev 在陈述中指出,这种绕过方法能够加载未签名的内核驱动程序,使进犯者能够部署自定义根 kit,进而削弱安全控制,隐藏进程和网络活动,保持隐秘等。
开发者 黑客 (3)
此次发现源于前期对 Windows 更新过程的剖析,研讨人员发现了两个特权提高缝隙(CVE-2024-21302和 CVE-2024-38202),这些缝隙可能被使用来将最新的 Windows 软件回滚到旧版本,这些旧版本中存在未修补的安全缝隙。研讨人员开发了一种名为 Windows Downdate 的东西,使用该东西能够绑架 Windows 更新过程,制作出彻底不行检测、持久且不行逆的降级,然后影响要害的操作体系组件。
这种新方法为进犯者供给了比 “自带脆弱驱动程序”(BYOVD)进犯更好的选择,答应他们降级榜首方模块,乃至包括操作体系内核本身。微软已经在2024年8月13日和2024年10月8日发布了针对这两个缝隙的修复补丁。
Leviev 的最新研讨表明,该降级东西能够将 “非安全边界”(ItsNotASecurityBoundary)DSE 绕过补丁降级到已更新的 Windows11体系。这个绕过方法最早由 Elastic Security Labs 的研讨员 Gabriel Landau 在2024年7月记载,并被称为 “虚伪文件不行变性” 的新缝隙类。研讨人员通过使用竞争条件,替换经过验证的安全目录文件为恶意版本,然后加载未签名的内核驱动程序。
要完成这一点,进犯者首要需要封闭目标主机上的虚拟化安全(VBS),然后将 ci.dll 库降级到未修补的旧版本,最终重启计算机并使用 “非安全边界” DSE 绕过完成内核级代码履行。服务器架设,虽然存在一种安全防护能够阻挠这种绕过,但如果没有适当的装备,进犯者依然能够封闭 VBS,履行降级。
总的来说,为了有效地减轻这种进犯风险,保证 VBS 处于启用状态并设置 UEFI 锁和强制标志是至关重要的。