在 2024 年黑帽美國會議上,SafeBreach 研究員 Alon Leviev 提出了一種攻擊,該攻擊操縱操作清單 XML 檔案來推送繞過所有 Windows 驗證步驟和可信任安裝程式的「Windows Downdate」工具。該工具還可以操縱Windows來確認系統是否已完全更新。
Windows更新程序之前已被攻破。 BlackLotus UEFI Bootkit 於 2023 年發布,包括利用 Windows 更新架構中的漏洞的降級功能。與 Leviev 展示的方法類似,BlackLotus Bootkit 會降級各種系統元件以繞過 VBS UEFI 鎖。然後,威脅行為者可以對先前最新的系統使用權限升級「零時差」攻擊。在SafeBreach 的部落格文章中,Leviev 表示:「我發現了多種禁用基於Windows 虛擬化的安全性(VBS) 的方法,包括其Credential Guard 和虛擬機器管理程式保護的程式碼完整性(HVCI) 等功能,即使使用UEFI 鎖強制執行也是如此。不過,微軟仍在開發安全性更新,以撤銷過時且未修補的 VBS 系統。微軟還計劃發布一份指南,「為客戶提供緩解措施或相關風險降低指導。」萊維耶夫認為,指導是必要的,因為這些攻擊是無法察覺和無形的。如欲了解更多資訊或查看實際利用情況,請造訪以下資源。
以上是舊即新:Windows 漏洞允許無法偵測的降級攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章!
