SafeBreach Labs公布了“Windows Downdate”，这是一种新的攻击方法，它通过降级系统组件并恢复DSE绕过等旧的/预定的漏洞来危害Windows 11。

在最近的一项研究中，SafeBreach Labs研究员Alon Leviev揭露了一种新的攻击技术，该技术可能会危及已全面修补的Windows 11系统的安全性。这种技术被称为Windows Downdate，涉及操纵Windows更新过程以降级关键系统组件，从而有效地恢复先前修补的漏洞。

该攻击最初于2024年8月在Black Hat USA 2024和DEF CON 32上被报道。研究人员现已公布更多细节，以增进公众对此次攻击的了解。

其中一个漏洞是“ItsNotASecurityBoundary”驱动程序签名强制(DSE)绕过，它允许攻击者加载未签名的内核驱动程序。此绕过允许攻击者用恶意版本替换经过验证的安全目录，从而能够加载未签名的内核驱动程序。

根据SafeBreach于周六发布之前分享的博客文章，通过利用Windows Downdate，攻击者可以攻击特定组件（例如解析安全目录所必需的“ci.dll”模块），并将其降级到易受攻击的状态，从而能够利用此绕过漏洞并获得内核级权限。

“ItsNotASecurityBoundary”DSE绕过属于一类名为“虚假文件不变性”（FFI）的新缺陷，它利用对文件不变性的错误假设，允许通过清除系统的工作集来修改“不可变”文件。

Leviev概述了利用不同级别的基于虚拟化的安全(VBS)保护的Windows系统中的漏洞的步骤。他们首次发现了多种禁用VBS关键功能的方法，包括Credential Guard和Hypervisor保护的代码完整性(HVCI)等功能，甚至首次使用了UEFI锁。

“据我所知，这是第一次在无需物理访问的情况下绕过VBS的UEFI锁。因此，我能够让一台完全修补的Windows机器受到过去漏洞的攻击，使已修复的漏洞变成未修复漏洞，并使世界上任何Windows机器上的“完全修补”一词都变得毫无意义。” ---Alon Leviev

要利用没有UEFI锁的系统，攻击者必须通过修改注册表设置来禁用VBS。禁用后，他们可以将ci.dll模块降级为易受攻击的版本并利用“ItsNotASecurityBoundary”漏洞。

对于具有UEFI锁定的系统，攻击者必须使SecureKernel.exe文件无效才能绕过VBS保护。但是，具有UEFI锁定和“强制”标志的VBS是最安全的配置，即使绕过锁定也不会禁用VBS。研究人员解释说，目前还没有已知的方法可以在没有物理访问的情况下利用具有此级别保护的系统。

然而，此Windows更新接管功能允许攻击者加载未签名的内核驱动程序、启用自定义rootkit来破坏安全控制、隐藏进程并保持隐身，对组织构成了重大威胁。

攻击者可以针对关键操作系统组件（包括DLL、驱动程序，甚至NT内核）进行自定义降级。通过降级这些组件，攻击者可以暴露之前已修补的漏洞，使系统容易受到攻击。

为了降低风险，组织应使用最新的安全补丁来修复系统漏洞。部署强大的端点检测和响应(EDR)解决方案来检测和响应恶意活动（包括降级尝试）至关重要，并实施强大的网络安全措施以防止未经授权的访问和数据泄露。此外，启用带有UEFI锁定和“强制”标志的VBS可以提供额外的攻击保护。