利用Windows漏洞,攻击者能降级系统组件恢复漏洞
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
研究揭示了一种新攻击技术“Windows Downdate”,可操纵Windows 11更新,导致漏洞修复失效。攻击者通过DSE绕过未签名内核驱动程序的加载,降级关键组件以获取内核权限。企业应及时更新系统,部署EDR解决方案,并启用UEFI锁和VBS以增强安全性。
🎯
关键要点
- 研究揭示了一种新攻击技术“Windows Downdate”,可操纵Windows 11更新,导致漏洞修复失效。
- 攻击者通过DSE绕过未签名内核驱动程序的加载,降级关键组件以获取内核权限。
- 该攻击利用了“ItsNotASecurityBoundary”驱动程序签名强制(DSE)绕过,允许加载恶意版本的内核驱动程序。
- 攻击者可以针对特定组件,如“ci.dll”,将其降级到易受攻击的状态。
- 研究人员发现多种禁用VBS关键功能的方法,包括凭证防护和HVCI。
- 使用UEFI锁和“强制”标志的VBS配置是最安全的,能防止未授权访问。
- 攻击者可以对关键操作系统组件进行自定义降级,暴露以前修补过的漏洞。
- 企业应及时更新系统,部署EDR解决方案,并启用UEFI锁和VBS以增强安全性。
➡️
