说米网

最近，安全研讨人员发现了一种新式进犯技术，能够绕过微软的驱动程序签名强制履行（DSE），乃至在彻底修补的 Windows 体系上施行操作体系降级进犯。SafeBreach 的研讨员 Alon Leviev 在陈述中指出，这种绕过方法能够加载未签名的内核驱动程序，使进犯者能够部署自定义根 kit，进而削弱安全控制，隐藏进程和网络活动，保持隐秘等。
开发者 黑客 (3)
此次发现源于前期对 Windows 更新过程的剖析，研讨人员发现了两个特权提高缝隙（CVE-2024-21302和 CVE-2024-38202），这些缝隙可能被使用来将最新的 Windows 软件回滚到旧版本，这些旧版本中存在未修补的安全缝隙。研讨人员开发了一种名为 Windows Downdate 的东西，使用该东西能够绑架 Windows 更新过程，制作出彻底不行检测、持久且不行逆的降级，然后影响要害的操作体系组件。
这种新方法为进犯者供给了比 “自带脆弱驱动程序”（BYOVD）进犯更好的选择，答应他们降级榜首方模块，乃至包括操作体系内核本身。微软已经在2024年8月13日和2024年10月8日发布了针对这两个缝隙的修复补丁。
Leviev 的最新研讨表明，该降级东西能够将 “非安全边界”（ItsNotASecurityBoundary）DSE 绕过补丁降级到已更新的 Windows11体系。这个绕过方法最早由 Elastic Security Labs 的研讨员 Gabriel Landau 在2024年7月记载，并被称为 “虚伪文件不行变性” 的新缝隙类。研讨人员通过使用竞争条件，替换经过验证的安全目录文件为恶意版本，然后加载未签名的内核驱动程序。
要完成这一点，进犯者首要需要封闭目标主机上的虚拟化安全（VBS），然后将 ci.dll 库降级到未修补的旧版本，最终重启计算机并使用 “非安全边界” DSE 绕过完成内核级代码履行。服务器架设,虽然存在一种安全防护能够阻挠这种绕过，但如果没有适当的装备，进犯者依然能够封闭 VBS，履行降级。
总的来说，为了有效地减轻这种进犯风险，保证 VBS 处于启用状态并设置 UEFI 锁和强制标志是至关重要的。