旧即新：Windows 漏洞允许无法检测的降级攻击

在 2024 年黑帽美国会议上，SafeBreach 研究员 Alon Leviev 提出了一种攻击，该攻击操纵操作列表 XML 文件来推送绕过所有 Windows 验证步骤和可信安装程序的“Windows Downdate”工具。该工具还可以操纵Windows来确认系统是否已完全更新。

Windows更新进程之前已被攻破。 BlackLotus UEFI Bootkit 于 2023 年发布，包括利用 Windows 更新架构中的漏洞的降级功能。与 Leviev 展示的方法类似，BlackLotus Bootkit 会降级各种系统组件以绕过 VBS UEFI 锁。然后，威胁行为者可以对以前最新的系统使用权限升级“零日”攻击。在 SafeBreach 的博客文章中，Leviev 表示：“我发现了多种禁用基于 Windows 虚拟化的安全性 (VBS) 的方法，包括其 Credential Guard 和虚拟机管理程序保护的代码完整性 (HVCI) 等功能，即使使用 UEFI 锁强制执行也是如此。据我所知，这是 VBS 的 UEFI 锁第一次在没有物理访问的情况下被绕过。”

Leviev 在今年 2 月向微软通报了这些漏洞。不过，微软仍在开发安全更新，以撤销过时且未打补丁的 VBS 系统。微软还计划发布一份指南，“为客户提供缓解措施或相关风险降低指导。”莱维耶夫认为，指导是必要的，因为这些攻击是无法察觉和无形的。要了解更多信息或查看实际利用情况，请访问以下资源。

以上是旧即新：Windows 漏洞允许无法检测的降级攻击的详细内容。更多信息请关注PHP中文网其他相关文章！