微软为确保 Windows 的安全设置了多项防护措施。它每月都会推送 "星期二补丁" 更新,顾名思义,就是为了修补安全漏洞。不仅是 Windows,微软还在 Windows 11 上强制要求安全启动,以尽可能确保固件更新的安全性。
然而,尽管采取了所有这些措施,威胁行为者和网络犯罪分子始终在寻找绕过这些措施的方法。去年 3 月,BlackLotus UEFI 安全启动漏洞浮出水面,该漏洞可以在完全更新的系统上绕过安全启动、VBS(基于虚拟化的安全)、HVCI(受管理程序保护的代码完整性)等,目前该漏洞已被修补。
一位安全研究人员 Alon Leviev 决定测试 Windows 更新过程中是否也有类似的保护措施来防止这种降级攻击。不幸的是,对于微软和 Windows 用户来说,Leviev 发现情况并非如此。
因此,Leviev 开发了 Windows Downdate,这是一种 "接管 Windows 更新进程的工具,可以对操作系统的关键组件进行完全无法检测、隐形、持续和不可逆转的降级",包括 DLL、驱动程序甚至 Windows 内核。
利用这一点,研究人员在 Black Hat 和 DEF CON 上演示了即使在降级攻击后,Windows 也会报告已完全更新,并且无法安装未来的更新;恢复工具也无法检测到任何问题。
这样一来,被入侵电脑的用户基本上就不知道发生了什么,不过好在这是一种本地攻击,这意味着威胁实施者需要对系统进行物理访问。
在下面的视频中,Windows 11 23H2 系统上的辅助功能内核驱动程序 (AFD.SYS) 被降级到旧版本。
Anton Leviev 概述了 Windows Downdate 的工作原理:
- 首先,降级必须完全不被检测到,这样端点检测和响应(EDR)解决方案就无法阻止降级。因此,我的目标是以最合法的方式进行降级。
- 其次,降级必须是不可见的。即使在技术上已经降级,被降级的组件看起来也应该是最新的。
- 第三,降级必须是持久的,这样未来的软件更新才不会覆盖它。
- 最后,降级必须是不可逆的,这样扫描和修复工具就无法检测或修复降级。
您可以在下面的源链接中找到更多技术细节。
一个好消息是,微软在公开演示之前就收到了关于该漏洞的通知,该公司正在其 MSRC 网站上以 ID "CVE-2024-21302 "和 "CVE-2024-38202 "跟踪该漏洞。
来源:SafeBreach, DEF CON, Black Hat
