利用Windows漏洞，攻击者能降级系统组件恢复漏洞

主要观点总结

SafeBreach Labs 研究人员揭露了一种新的攻击技术，该技术能够操纵Windows 11系统更新过程，降级关键系统组件，使一些漏洞修复补丁失效。这种被称为 Windows Downdate 的技术利用了包括“ItsNotASecurityBoundary”在内的多个漏洞，允许攻击者加载未签名的内核驱动程序，并解除安全控制。对企业构成重大威胁。

关键观点总结

关键观点1: 攻击技术原理及漏洞利用

攻击者利用Windows Downdate技术，通过操纵Windows 11系统更新过程，降级关键系统组件。其中利用了“ItsNotASecurityBoundary”驱动程序签名强制（DSE）绕过等漏洞，允许攻击者加载未签名的内核驱动程序。

关键观点2: 攻击步骤和防护手段

研究人员详细描述了攻击步骤，包括如何利用不同级别的虚拟化安全（VBS）保护。同时，提出了降低风险的建议，包括及时更新系统、打上最新的安全补丁，部署端点检测和响应（EDR）解决方案，使用UEFI锁定和“强制”标志启用VBS等。

关键观点3: 对企业的威胁

这种攻击技术对企业构成重大威胁，攻击者可以对关键操作系统组件进行自定义降级，暴露已修补的漏洞，使系统容易被利用。

文章预览

据Hackread消息，在最近的一项研究中，SafeBreach Labs 研究员揭露了一种新的攻击技术，能够操纵Windows 11系统在更新时降级关键系统组件，从而让一些漏洞修复补丁失效。 该攻击原理最初于 2024 年 8 月在Black Hat USA 2024上披露，而现在研究人员公布了更多细节，以加强公众对这次攻击的了解。 这种被称为 Windows Downdate 的技术利用的其中一个漏洞是“ItsNotASecurityBoundary”驱动程序签名强制 （DSE） 绕过，能允许攻击者加载未签名的内核驱动程序，将经过验证的安全目录替换为恶意版本，从而能够加载未签名的内核驱动程序。 比如，攻击者可以针对特定组件，例如解析安全目录所必需的“ci.dll”模块，并将它们降级到易受攻击的状态，从而能够利用此绕过并获得内核级权限。 “ItsNotASecurityBoundary”DSE 绕过是一类名为“虚假文件不变性”（FFI）的新漏洞的一 ………………………………