Windows降级攻击：所有更新补丁打回原型

文章预览

SafeBreach Labs披露了一种名为“Windows Downdate”的新型攻击技术，该技术通过降级Windows系统组件来利用已修补的漏洞。这种攻击利用了“ItsNotASecurityBoundary”驱动程序签名强制（DSE）绕过，允许攻击者加载未签名的内核驱动程序，从而获得内核级权限。攻击者可以通过修改注册表设置或使SecureKernel.exe文件无效来禁用基于虚拟化的安全（VBS），进而降级关键系统组件，如DLL、驱动程序甚至NT内核，以暴露先前已修补的漏洞。 降级攻击（也称为版本回滚攻击）是一种旨在将免疫的、完全最新的软件恢复到旧版本的攻击。它们允许恶意行为者暴露和利用之前修复/修补的漏洞来破坏系统并获得未经授权的访问。 在8月份的黑帽大会，研究者披露表他们的研究成果，称成功降级了关键操作系统组件，包括DLL、驱动程序，甚至NT 内核。之后，操作系统报告已完全 ………………………………