​研究者揭露微软 Windows 内核的操作系统降级漏洞

文章预览

近期，SafeBreach Labs的研究人员揭露了一种名为“Windows Downdate”的新型攻击技术，该技术能够操纵Windows 11系统在更新时降级关键系统组件，使部分漏洞修复补丁失效。这一攻击原理最初于2024年8月在Black Hat USA 2024上披露，现在更多细节被公布。 “Windows Downdate”技术利用了一个名为“ItsNotASecurityBoundary”的驱动程序签名强制（DSE）绕过漏洞， 允许攻击者加载未签名的内核驱动程序，并将经过验证的安全目录替换为恶意版本。 例如，攻击者可以针对“ci.dll”等关键组件，将其降级到易受攻击的状态，从而获得内核级权限。这项技术是“虚假文件不变性”（FFI）新漏洞的一部分，利用了关于文件不可变性的错误假设，允许通过清除系统工作集来修改“不可变”文件。 研究人员概述了在具有不同级别虚拟化安全（VBS）保护的Windows系统中可利用漏洞的步骤 ………………………………