安全外联实验室（SafeBreach Labs）公布了 “Windows降级 ”新攻击方法，该方法可通过降级系统组件和恢复DSE绕过等旧/打过补丁的漏洞来破坏Windows 11。

在最近的一项研究中，SafeBreach 实验室的研究员 Alon Leviev 曝光了一种新的攻击技术，这种技术可能会危及已打补丁的 Windows 11 系统的安全。这种技术被称为 “Windows 降级”（Windows Downdate），涉及操纵 Windows 更新进程来降级关键系统组件，从而有效地复活先前已打补丁的漏洞。

该攻击最初于 2024 年 8 月在 Black Hat USA 2024 和 DEF CON 32 上报告。研究人员现在公布了更多细节，以加深公众对该攻击的了解。

其中一个漏洞是 “ItsNotASecurityBoundary ”驱动程序签名执行（DSE）绕过，允许攻击者加载未签名的内核驱动程序。该绕过漏洞允许攻击者用恶意版本替换已验证的安全目录，从而加载未签名的内核驱动程序。

根据SafeBreach在周六发布之前与Hackread.com共享的博文，通过利用Windows降级，攻击者可以锁定特定组件，如解析安全目录所必需的 “ci.dll ”模块，并将其降级到易受攻击的状态，从而利用这一旁路并获得内核级权限。

需要说明的是，“ItsNotASecurityBoundary ”DSE旁路属于一类新漏洞，被称为 “虚假文件不变性”（FFI），它利用了对文件不变性的不正确假设，允许通过清除系统工作集来修改 “不可变 ”文件。

Leviev 概述了在具有不同级别虚拟化安全（VBS）保护的 Windows 系统中利用漏洞的步骤。他们确定了多种禁用 VBS 关键功能的方法，包括凭证防护（Credential Guard）和管理程序保护代码完整性（HVCI）等功能，甚至首次使用了 UEFI 锁。

“据我所知，这是第一次在没有物理访问的情况下绕过 VBS 的 UEFI 锁。因此，我能够让一台打了完全补丁的 Windows 机器易受过去漏洞的影响，使已修复的漏洞变成未修复的漏洞，并使 “打了完全补丁 ”这一术语在世界上任何一台 Windows 机器上变得毫无意义。”

阿隆-列维夫

要利用没有 UEFI 锁的系统，攻击者必须通过修改注册表设置来禁用 VBS。一旦禁用，他们就可以将 ci.dll 模块降级到有漏洞的版本，并利用 “ItsNotASecurityBoundary ”漏洞。

对于带有 UEFI 锁的系统，攻击者必须使 SecureKernel.exe 文件失效，才能绕过 VBS 保护。然而，带有 UEFI 锁和 “强制 ”标志的 VBS 是最安全的配置，即使锁被绕过，VBS 也不会被禁用。研究人员解释说，目前还没有已知的方法可以在没有物理访问的情况下利用具有这种保护级别的系统。

尽管如此，这种 Windows Update 接管功能仍对企业构成了重大威胁，因为它允许攻击者加载未签名的内核驱动程序、启用自定义 rootkit 以解除安全控制、隐藏进程并保持隐身。

攻击者可以对关键操作系统组件（包括 DLL、驱动程序甚至 NT 内核）进行自定义降级。通过降级这些组件，攻击者可以暴露以前修补过的漏洞，使系统容易被利用。

为降低风险，企业应及时为系统更新最新的安全补丁，以解决漏洞问题。必须部署强大的端点检测和响应（EDR）解决方案，以检测和响应恶意活动，包括降级尝试，并实施强大的网络安全措施，防止未经授权的访问和数据泄露。此外，使用 UEFI 锁定和 “强制 ”标志启用 VBS 还能提供额外的保护，防止攻击。