降级攻击可“复活”数以千计的Windows漏洞

简介: 在本周举行的黑帽大会(Black Hat 2024)上,安全研究员Alon Leviev曝光了一个微软Windows操作系统的“超级漏洞”,该漏洞使得攻击者可以利用微软更新进程实施降级攻击,“复活”数以千计的微软Windows漏洞,即便是打满补丁的Windows11设备也将变得千疮百孔,脆弱不堪。

在本周举行的黑帽大会(Black Hat 2024)上,安全研究员Alon Leviev曝光了一个微软Windows操作系统的“超级漏洞”,该漏洞使得攻击者可以利用微软更新进程实施降级攻击,“复活”数以千计的微软Windows漏洞,即便是打满补丁的Windows11设备也将变得千疮百孔,脆弱不堪。

把微软的更新服务变成“超级木马”

在与微软协调后,Leviev在黑帽大会上公布了Windows降级攻击技术Windows Downdate的细节,这是一种可以操纵Windows Update更新进程的技术,使得恶意行为者能够将系统关键组件降级,进而使安全补丁失效。


“通过Windows Downdate,我可以完全控制Windows Update进程,降级对象包括DLL、驱动程序甚至NT内核在内的关键操作系统组件,包括微软的虚拟化堆栈也不能幸免。”Leviev在黑帽大会上说道:“这让我能够绕过所有验证步骤,使得完全打补丁的Windows机器也容易受到成千上万个已修复漏洞的攻击。”


Leviev的技术灵感来自于2023年的BlackLotus UEFI启动套件(Bootkit),该Bootkit通过降级Windows引导管理器,利用CVE-2022-21894漏洞绕过安全引导并禁用其他操作系统安全机制(例如BitLocker、HVCI和Windows Defender)。


“我发现了一些漏洞,可用于开发Windows Downdate工具,以接管Windows Update进程,制造完全不可检测、隐形、持久且不可逆转的关键操作系统组件降级,”Leviev在其研究报告中说道。


Leviev还找到了绕过UEFI锁来禁用Windows基于虚拟化的安全性(VBS)、Credential Guard和虚拟机管理程序保护的代码完整性(HVCI)的方法。


“我能够让一台完全修补过的Windows机器受到过去存在的数千个漏洞的攻击,将已修复的漏洞变成零日漏洞,并让世界上任何一台Windows机器上的‘完全修补’一词都变得毫无意义。”Leviev总结道。

被低估的降级攻击威胁

此次漏洞的发现引发了广泛关注。Everest Group的高级分析师Arjun Chauhan指出,虽然微软尚未观测到此类降级攻击在野外发生,但SafeBreach团队在六个月前报告漏洞后,微软仍未提供可靠解决方案,这引发了业界对微软响应能力的担忧。


降级攻击又称版本回滚攻击,是一种通过将软件恢复到旧版本,从而利用已修复漏洞的网络攻击。Chauhan指出,此类攻击可能对严重依赖Windows环境的企业和机构产生深远影响。“这些攻击可以逆转安全补丁,使系统重新暴露于先前已经修复的漏洞,增加数据泄露、未经授权访问和敏感信息丢失的风险。”


此外,降级攻击可能通过破坏关键基础设施而中断运营,导致停机和经济损失。金融服务、医疗、政府和公共部门等具有严格合规要求的行业尤其脆弱。一旦这些行业遭受成功的降级攻击,可能会导致合规处罚,品牌和客户信任也将蒙受巨大损失。


Leviev表示,降级攻击的威胁不仅限于Windows系统,且难以被标准的端点安全或EDR工具检测到,业界需要对操作系统降级攻击进行广泛关注和研究。Leviev强调,操作系统的设计功能无论多旧,都应视为潜在的攻击面。


尽管微软尚未对此研究结果发表公开声明,但该公司已经发布了两个公告——CVE-2024-38202和CVE-2024-21302,微软警告说Windows Backup中的提权漏洞可能允许攻击者重新引入先前已修复的漏洞或绕过虚拟化安全功能(VBS)。


Chauhan建议,微软发布永久解决方案之前,企业应密切监控降级尝试,限制管理权限,并严格执行最小权限原则(PoLP)。


参考链接:https://www.blackhat.com/us-24/briefings/schedule/index.html?_gl=1*1jz1mvp*_gcl_au*MTgxMDYyNzI1NS4xNzIzMDk0MTkw#windows-downdate-downgrade-attacks-using-windows-updates-38963

相关文章
|
4月前
|
负载均衡 网络协议 安全
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
|
5月前
|
安全 Windows
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
112 2
|
安全 测试技术 Windows
Windows Ancillary Function Driver for WinSock 权限提升漏洞(CVE-2023-21768)
Windows Ancillary Function Driver for WinSock 存在权限提升漏洞
309 1
|
存储 JSON 安全
phpStudy 小皮 Windows面板 RCE漏洞
详情看文章内叙述
300 1
|
存储 安全 API
Windows Server 2022 21H2 本地域权限提升漏洞(PetitPotam)
Windows Server 2022 Standard/Datacenter 存在本地域权限提升漏洞,攻击者可通过使用PetitPotam工具进行获取服务器SYSTEM权限。
317 1
|
7月前
|
安全 Windows
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
74 0
|
7月前
|
供应链 JavaScript Shell
供应链投毒预警 | 恶意NPM包利用Windows反向shell后门攻击开发者
本周(2024年02月19号),悬镜供应链安全情报中心在NPM官方仓库(https://npmjs.com)中发现多起NPM组件包投毒事件。攻击者利用包名错误拼写方式 (typo-squatting)在NPM仓库中连续发布9个不同版本的恶意包,试图通过仿冒合法组件(ts-patch-mongoose)来攻击潜在的NodeJS开发者。
137 2
|
安全 测试技术 数据安全/隐私保护
CVE-2022-21999 Windows Print Spooler(打印服务)特权提升漏洞
2021年6⽉29⽇,安全研究⼈员在GitHub上公开了CVE-2021-1675 Windows Print Spooler远程代码执⾏漏洞的PoC。该漏洞是Microsoft 6⽉星期⼆补丁⽇中公开的⼀个RCE漏洞,其存在于管理打印过程的Print Spooler (spoolsv.exe) 服务中,会影响所有 Windows系统版本。
151 1
|
安全 索引 Windows
干货丨windows内核www漏洞利用手法(修改版)
注:由于上次发出来的不完整,所以删除了重新发完整点的 前言:Gcow安全团队复眼小组致力于对漏洞的挖掘和研究,并且对于二进制和web漏洞方面都有所研究,有独立挖掘漏洞和独立复现漏洞的能力,本篇文章由Gcow安全团队复眼小组晏子霜师傅所写!
|
1月前
|
网络安全 Windows
Windows server 2012R2系统安装远程桌面服务后无法多用户同时登录是什么原因?
【11月更文挑战第15天】本文介绍了在Windows Server 2012 R2中遇到的多用户无法同时登录远程桌面的问题及其解决方法,包括许可模式限制、组策略配置问题、远程桌面服务配置错误以及网络和防火墙问题四个方面的原因分析及对应的解决方案。