​研究者揭露微软 Windows 内核的操作系统降级漏洞

最近，安全研究人员发现了一种新型攻击技术，能够绕过微软的驱动程序签名强制执行（DSE），甚至在完全修补的 Windows 系统上实施操作系统降级攻击。SafeBreach 的研究员 Alon Leviev 在报告中指出，这种绕过方法可以加载未签名的内核驱动程序，使攻击者能够部署自定义根 kit，进而削弱安全控制，隐藏进程和网络活动，保持隐秘等。

此次发现源于早期对 Windows 更新过程的分析，研究人员发现了两个特权提升漏洞（CVE-2024-21302和 CVE-2024-38202），这些漏洞可能被利用来将最新的 Windows 软件回滚到旧版本，这些旧版本中存在未修补的安全漏洞。研究人员开发了一种名为 Windows Downdate 的工具，利用该工具可以劫持 Windows 更新过程，制作出完全不可检测、持久且不可逆的降级，从而影响关键的操作系统组件。

这种新方法为攻击者提供了比 “自带脆弱驱动程序”（BYOVD）攻击更好的选择，允许他们降级第一方模块，甚至包括操作系统内核本身。微软已经在2024年8月13日和2024年10月8日发布了针对这两个漏洞的修复补丁。

Leviev 的最新研究表明，该降级工具能够将 “非安全边界”（ItsNotASecurityBoundary）DSE 绕过补丁降级到已更新的 Windows11系统。这个绕过方法最早由 Elastic Security Labs 的研究员 Gabriel Landau 在2024年7月记录，并被称为 “虚假文件不可变性” 的新漏洞类。研究人员通过利用竞争条件，替换经过验证的安全目录文件为恶意版本，从而加载未签名的内核驱动程序。

要实现这一点，攻击者首先需要关闭目标主机上的虚拟化安全（VBS），然后将 ci.dll 库降级到未修补的旧版本，最后重启计算机并利用 “非安全边界” DSE 绕过实现内核级代码执行。虽然存在一种安全防护可以阻止这种绕过，但如果没有适当的配置，攻击者仍然能够关闭 VBS，执行降级。

总的来说，为了有效地减轻这种攻击风险，确保 VBS 处于启用状态并设置 UEFI 锁和强制标志是至关重要的。

划重点: