复生 升级攻打可 数以千计的Windows破绽

在本周举办的黑帽大会(Black Hat 2024)上,安保钻研员Alon Leviev曝光了一个微软Windows操作系统的“超级破绽”,该破绽使得攻打者可以应用微软升级进程实施升级攻打,“复生”数以千计的微软Windows破绽,即使是打满补丁的Windows11设备也将变得千疮百孔,软弱不堪。

把微软的升级服务变成“超级木马”

在与微软协调后,Leviev在黑帽大会上发布了Windows升级攻打技术Windows Downdate的细节,这是一种可以操纵Windows Update升级进程的技术,使得恶意行为者能够将系统主要组件升级,进而使安保补丁失效。

“经过Windows Downdate,我可以齐全控制Windows Update进程,升级对象包含DLL、驱动程序甚至NT内核在内的主要操作系统组件,包含微软的虚构化堆栈也不能幸免。”Leviev在黑帽大会上说道:“这让我能够绕过一切验证步骤,使得齐全打补丁的Windows机器也容易遭到不可胜数个已修复破绽的攻打。”

Leviev的技术灵感来自于2023年的BlackLotus UEFI启动套件(Bootkit),该Bootkit经过升级Windows疏导治理器,应用CVE-2022-21894破绽绕过安保疏导并禁用其余操作系统安保机制(例如BitLocker、HVCI和Windows Defender)。

“我发现了一些破绽,可用于开发Windows Downdate工具,以接收Windows Update进程,制作齐全无法检测、隐形、耐久且无法逆转的主要操作系统组件升级,”Leviev在其钻研报告中说道。

Leviev还找到了绕过UEFI锁来禁用Windows基于虚构化的安保性(VBS)、Credential Guard和虚构机治理程序包全的代码完整性(HVCI)的方法。

“我能够让一台齐全修补过的Windows机器遭到过去存在的数千个破绽的攻打,将已修复的破绽变成零日破绽,并让环球上马何一台Windows机器上的‘齐全修补’一词都变得毫有意义。”Leviev总结道。

被低估的升级攻打要挟

此次破绽的发现引发了宽泛关注。Everest Group的初级剖析师Arjun Chauhan指出,虽然微软尚未观测到此类升级攻打在朝外出现,但SafeBreach团队在六个月前报告破绽后,微软仍未提供牢靠处置打算,这引发了业界对微软照应才干的担心。

升级攻打又称版本回滚攻打,是一种经过将软件复原到旧版本,从而应用已修复破绽的网络攻打。Chauhan指出,此类攻打或许对严重依赖Windows环境的企业和机构发生深远影响。“这些攻打可以逆转安保补丁,使系统从新暴露于先前曾经修复的破绽,参与数据暴露、未经授权访问和敏感消息失落的危险。”

此外,升级攻打或许经过破坏主要基础设备而终止运营,造成停机和经济损失。金融服务、医疗、政府和公共部门等具备严厉合规要求的行业尤其软弱。一旦这些行业遭受成功的升级攻打,或许会造成合规处分,品牌和客户信赖也将遭受渺小损失。

Leviev示意,升级攻打的要挟不只限于Windows系统,且难以被规范的端点安保或EDR工具检测到,业界须要对操作系统升级攻打启动宽泛关注和钻研。Leviev强调,操作系统的设计配置无论多旧,都应视为潜在的攻打面。

虽然微软尚未对此钻研结果宣布地下申明,但该公司曾经发布了两个通告——CVE-2024-38202和CVE-2024-21302,微软正告说Windows Backup中的提权破绽或许准许攻打者从新引入先前已修复的破绽或绕过虚构化安保配置(VBS)。

Chauhan倡导,微软发布终身处置打算之前,企业应亲密监控升级尝试,限度治理权限,并严厉口头最小权限准则(PoLP)。

您可能还会对下面的文章感兴趣: