在本周舉行的黑帽大會(huì)（Black Hat 2024）上，安全研究員Alon Leviev曝光了一個(gè)微軟Windows操作系統(tǒng)的“超級(jí)漏洞”，該漏洞使得攻擊者可以利用微軟更新進(jìn)程實(shí)施降級(jí)攻擊，“復(fù)活”數(shù)以千計(jì)的微軟Windows漏洞，即便是打滿補(bǔ)丁的Windows11設(shè)備也將變得千瘡百孔，脆弱不堪。

把微軟的更新服務(wù)變成“超級(jí)木馬”

在與微軟協(xié)調(diào)后，Leviev在黑帽大會(huì)上公布了Windows降級(jí)攻擊技術(shù)Windows Downdate的細(xì)節(jié)，這是一種可以操縱Windows Update更新進(jìn)程的技術(shù)，使得惡意行為者能夠?qū)⑾到y(tǒng)關(guān)鍵組件降級(jí)，進(jìn)而使安全補(bǔ)丁失效。

“通過(guò)Windows Downdate，我可以完全控制Windows Update進(jìn)程，降級(jí)對(duì)象包括DLL、驅(qū)動(dòng)程序甚至NT內(nèi)核在內(nèi)的關(guān)鍵操作系統(tǒng)組件，包括微軟的虛擬化堆棧也不能幸免。”Leviev在黑帽大會(huì)上說(shuō)道：“這讓我能夠繞過(guò)所有驗(yàn)證步驟，使得完全打補(bǔ)丁的Windows機(jī)器也容易受到成千上萬(wàn)個(gè)已修復(fù)漏洞的攻擊。”

Leviev的技術(shù)靈感來(lái)自于2023年的BlackLotus UEFI啟動(dòng)套件（Bootkit），該Bootkit通過(guò)降級(jí)Windows引導(dǎo)管理器，利用CVE-2022-21894漏洞繞過(guò)安全引導(dǎo)并禁用其他操作系統(tǒng)安全機(jī)制（例如BitLocker、HVCI和Windows Defender）。

“我發(fā)現(xiàn)了一些漏洞，可用于開(kāi)發(fā)Windows Downdate工具，以接管Windows Update進(jìn)程，制造完全不可檢測(cè)、隱形、持久且不可逆轉(zhuǎn)的關(guān)鍵操作系統(tǒng)組件降級(jí)，”Leviev在其研究報(bào)告中說(shuō)道。

Leviev還找到了繞過(guò)UEFI鎖來(lái)禁用Windows基于虛擬化的安全性(VBS)、Credential Guard和虛擬機(jī)管理程序保護(hù)的代碼完整性(HVCI)的方法。

“我能夠讓一臺(tái)完全修補(bǔ)過(guò)的Windows機(jī)器受到過(guò)去存在的數(shù)千個(gè)漏洞的攻擊，將已修復(fù)的漏洞變成零日漏洞，并讓世界上任何一臺(tái)Windows機(jī)器上的‘完全修補(bǔ)’一詞都變得毫無(wú)意義。”Leviev總結(jié)道。

被低估的降級(jí)攻擊威脅

此次漏洞的發(fā)現(xiàn)引發(fā)了廣泛關(guān)注。Everest Group的高級(jí)分析師Arjun Chauhan指出，雖然微軟尚未觀測(cè)到此類降級(jí)攻擊在野外發(fā)生，但SafeBreach團(tuán)隊(duì)在六個(gè)月前報(bào)告漏洞后，微軟仍未提供可靠解決方案，這引發(fā)了業(yè)界對(duì)微軟響應(yīng)能力的擔(dān)憂。

降級(jí)攻擊又稱版本回滾攻擊，是一種通過(guò)將軟件恢復(fù)到舊版本，從而利用已修復(fù)漏洞的網(wǎng)絡(luò)攻擊。Chauhan指出，此類攻擊可能對(duì)嚴(yán)重依賴Windows環(huán)境的企業(yè)和機(jī)構(gòu)產(chǎn)生深遠(yuǎn)影響。“這些攻擊可以逆轉(zhuǎn)安全補(bǔ)丁，使系統(tǒng)重新暴露于先前已經(jīng)修復(fù)的漏洞，增加數(shù)據(jù)泄露、未經(jīng)授權(quán)訪問(wèn)和敏感信息丟失的風(fēng)險(xiǎn)。”

此外，降級(jí)攻擊可能通過(guò)破壞關(guān)鍵基礎(chǔ)設(shè)施而中斷運(yùn)營(yíng)，導(dǎo)致停機(jī)和經(jīng)濟(jì)損失。金融服務(wù)、醫(yī)療、政府和公共部門(mén)等具有嚴(yán)格合規(guī)要求的行業(yè)尤其脆弱。一旦這些行業(yè)遭受成功的降級(jí)攻擊，可能會(huì)導(dǎo)致合規(guī)處罰，品牌和客戶信任也將蒙受巨大損失。

Leviev表示，降級(jí)攻擊的威脅不僅限于Windows系統(tǒng)，且難以被標(biāo)準(zhǔn)的端點(diǎn)安全或EDR工具檢測(cè)到，業(yè)界需要對(duì)操作系統(tǒng)降級(jí)攻擊進(jìn)行廣泛關(guān)注和研究。Leviev強(qiáng)調(diào)，操作系統(tǒng)的設(shè)計(jì)功能無(wú)論多舊，都應(yīng)視為潛在的攻擊面。

盡管微軟尚未對(duì)此研究結(jié)果發(fā)表公開(kāi)聲明，但該公司已經(jīng)發(fā)布了兩個(gè)公告——CVE-2024-38202和CVE-2024-21302，微軟警告說(shuō)Windows Backup中的提權(quán)漏洞可能允許攻擊者重新引入先前已修復(fù)的漏洞或繞過(guò)虛擬化安全功能（VBS）。

Chauhan建議，微軟發(fā)布永久解決方案之前，企業(yè)應(yīng)密切監(jiān)控降級(jí)嘗試，限制管理權(quán)限，并嚴(yán)格執(zhí)行最小權(quán)限原則（PoLP）。