利用Windows漏洞,攻击者能降级系统组件恢复漏洞
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
研究揭示了一种新攻击技术“Windows Downdate”,可操纵Windows 11更新,导致漏洞修复失效。攻击者通过DSE绕过未签名内核驱动程序的加载,降级关键组件以获取内核权限。企业应及时更新系统,部署EDR解决方案,并启用UEFI锁和VBS以增强安全性。
🎯
关键要点
-
研究揭示了一种新攻击技术“Windows Downdate”,可操纵Windows 11更新,导致漏洞修复失效。
-
攻击者通过DSE绕过未签名内核驱动程序的加载,降级关键组件以获取内核权限。
-
该攻击利用了“ItsNotASecurityBoundary”驱动程序签名强制(DSE)绕过,允许加载恶意版本的内核驱动程序。
-
攻击者可以针对特定组件,如“ci.dll”,将其降级到易受攻击的状态。
-
研究人员发现多种禁用VBS关键功能的方法,包括凭证防护和HVCI。
-
使用UEFI锁和“强制”标志的VBS配置是最安全的,能防止未授权访问。
-
攻击者可以对关键操作系统组件进行自定义降级,暴露以前修补过的漏洞。
-
企业应及时更新系统,部署EDR解决方案,并启用UEFI锁和VBS以增强安全性。
❓
延伸问答
什么是Windows Downdate攻击技术?
Windows Downdate是一种新攻击技术,能够操纵Windows 11更新,导致漏洞修复失效。
攻击者如何利用DSE绕过未签名内核驱动程序的加载?
攻击者通过DSE绕过,允许加载未签名的内核驱动程序,从而降级关键组件以获取内核权限。
企业应该如何防范Windows Downdate攻击?
企业应及时更新系统,部署EDR解决方案,并启用UEFI锁和VBS以增强安全性。
攻击者可以针对哪些系统组件进行降级?
攻击者可以针对特定组件,如“ci.dll”,将其降级到易受攻击的状态。
VBS在防止Windows Downdate攻击中有什么作用?
VBS可以提供额外的保护,防止未授权访问,尤其是在启用UEFI锁和“强制”标志时。
Windows Downdate攻击对企业的威胁是什么?
该攻击允许攻击者加载未签名的内核驱动程序,解除安全控制,隐藏进程,构成重大威胁。
🏷️
