最近,安全研究人员发现了一种新型攻击技术,能够绕过微软的驱动程序签名强制执行(DSE),甚至在完全修补的 Windows 系统上实施操作系统降级攻击。SafeBreach 的研究员 Alon Leviev 在报告中指出,这种绕过方法可以加载未签名的内核驱动程序,使攻击者能够部署自定义根 kit,进而削弱安全控制,隐藏进程和网络活动,保持隐秘等。
此次发现源于早期对 Windows 更新过程的分析,研究人员发现了两个特权提升漏洞(CVE-2024-21302和 CVE-2024-38202),这些漏洞可能被利用来将最新的 Windows 软件回滚到旧版本,这些旧版本中存在未修补的安全漏洞。研究人员开发了一种名为 Windows Downdate 的工具,利用该工具可以劫持 Windows 更新过程,制作出完全不可检测、持久且不可逆的降级,从而影响关键的操作系统组件。
这种新方法为攻击者提供了比 “自带脆弱驱动程序”(BYOVD)攻击更好的选择,允许他们降级第一方模块,甚至包括操作系统内核本身。微软已经在2024年8月13日和2024年10月8日发布了针对这两个漏洞的修复补丁。
Leviev 的最新研究表明,该降级工具能够将 “非安全边界”(ItsNotASecurityBoundary)DSE 绕过补丁降级到已更新的 Windows11系统。这个绕过方法最早由 Elastic Security Labs 的研究员 Gabriel Landau 在2024年7月记录,并被称为 “虚假文件不可变性” 的新漏洞类。研究人员通过利用竞争条件,替换经过验证的安全目录文件为恶意版本,从而加载未签名的内核驱动程序。
要实现这一点,攻击者首先需要关闭目标主机上的虚拟化安全(VBS),然后将 ci.dll 库降级到未修补的旧版本,最后重启计算机并利用 “非安全边界” DSE 绕过实现内核级代码执行。虽然存在一种安全防护可以阻止这种绕过,但如果没有适当的配置,攻击者仍然能够关闭 VBS,执行降级。
总的来说,为了有效地减轻这种攻击风险,确保 VBS 处于启用状态并设置 UEFI 锁和强制标志是至关重要的。
划重点:
