安全研究员演示绕过安全系统永久降级 Window 10/11

微软为确保 Windows 的安全设置了多项防护措施。它每月都会推送 "星期二补丁" 更新，顾名思义，就是为了修补安全漏洞。不仅是 Windows，微软还在 Windows 11 上强制要求安全启动，以尽可能确保固件更新的安全性。

然而，尽管采取了所有这些措施，威胁行为者和网络犯罪分子始终在寻找绕过这些措施的方法。去年 3 月，BlackLotus UEFI 安全启动漏洞浮出水面，该漏洞可以在完全更新的系统上绕过安全启动、VBS（基于虚拟化的安全）、HVCI（受管理程序保护的代码完整性）等，目前该漏洞已被修补。

一位安全研究人员 Alon Leviev 决定测试 Windows 更新过程中是否也有类似的保护措施来防止这种降级攻击。不幸的是，对于微软和 Windows 用户来说，Leviev 发现情况并非如此。

因此，Leviev 开发了 Windows Downdate，这是一种 "接管 Windows 更新进程的工具，可以对操作系统的关键组件进行完全无法检测、隐形、持续和不可逆转的降级"，包括 DLL、驱动程序甚至 Windows 内核。

利用这一点，研究人员在 Black Hat 和 DEF CON 上演示了即使在降级攻击后，Windows 也会报告已完全更新，并且无法安装未来的更新；恢复工具也无法检测到任何问题。

这样一来，被入侵电脑的用户基本上就不知道发生了什么，不过好在这是一种本地攻击，这意味着威胁实施者需要对系统进行物理访问。

在下面的视频中，Windows 11 23H2 系统上的辅助功能内核驱动程序 (AFD.SYS) 被降级到旧版本。

Anton Leviev 概述了 Windows Downdate 的工作原理：

• 首先，降级必须完全不被检测到，这样端点检测和响应（EDR）解决方案就无法阻止降级。因此，我的目标是以最合法的方式进行降级。
• 其次，降级必须是不可见的。即使在技术上已经降级，被降级的组件看起来也应该是最新的。
• 第三，降级必须是持久的，这样未来的软件更新才不会覆盖它。
• 最后，降级必须是不可逆的，这样扫描和修复工具就无法检测或修复降级。

您可以在下面的源链接中找到更多技术细节。

一个好消息是，微软在公开演示之前就收到了关于该漏洞的通知，该公司正在其 MSRC 网站上以 ID "CVE-2024-21302 "和 "CVE-2024-38202 "跟踪该漏洞。

来源：SafeBreach, DEF CON, Black Hat