旧貌换新颜：Windows 漏洞允许无法检测的降级攻击

在 2024 年美国黑帽大会上，SafeBreach研究人员 Alon Leviev 提出了一种攻击方法，它可以操纵操作列表 XML 文件来推送 "Windows 降级 "工具，从而绕过所有 Windows 验证步骤和可信安装程序。该工具还能操纵 Windows 确认系统已完全更新。

Windows 更新过程曾被入侵过。BlackLotus UEFI Bootkit 于 2023 年发布，其中包括利用 Windows 更新架构漏洞的降级功能。与列维耶夫展示的方法类似，BlackLotus Bootkit 会对各种系统组件进行降级，以绕过 VBS UEFI 锁。然后，威胁行为者就可以在以前的最新系统上使用权限升级 "零日 "攻击。Leviev 在 SafeBreach 的一篇博文中写道："我发现了多种禁用基于虚拟化的 Windows 安全性（VBS）的方法，包括凭证防护（Credential Guard）和管理程序保护代码完整性（HVCI）等功能，甚至在使用 UEFI 锁时也是如此。据我所知，这是 VBS 的 UEFI 锁第一次在没有物理访问的情况下被绕过。

Leviev 于今年 2 月向微软通报了这些漏洞。不过，微软仍在开发安全更新，以撤销过时和未打补丁的 VBS 系统。微软还计划发布一份指南，"为客户提供可用的缓解措施或相关风险降低指南"。Leviev 认为，这些攻击是无法检测和隐形的，因此指导是必要的。如需了解更多信息或查看实际利用情况，请访问以下资源。