SafeBreach Labs研究员Alon Leviev揭露Microsoft Windows Update架构存在重大漏洞,警告恶意黑客可能发动软件降级攻击,使全球任何Windows电脑上的「完全更新」一词失去意义。
黑帽黑客大会惊人演示
目录
Leviev在今天拉斯维加斯举行的黑帽黑客大会上,展示了他如何接管Windows Update程序,对关键操作系统组件进行自定义降级,提升权限并绕过安全功能。
Leviev表示,他能够让一台完全更新的 Windows 电脑容易受到数千个过去的漏洞影响,将已修复的漏洞变成零日漏洞。
Windows Downdate 工具绕过所有验证
这位以色列研究员发现了一种操纵操作列表 XML 文件的方法,推出一种名为 Windows Downdate 的工具,可以绕过所有验证步骤,包括完整性验证和可信安装程序执行。
Leviev 在演示前接受《SecurityWeek》访问时表示,该工具能够降级基本的操作系统组件,导致操作系统错误地报告其已完全更新。
降级攻击的严重影响
降级攻击,也称为版本回滚攻击,能将一个已更新且安全的软件回滚到旧版本,使其暴露于已知且可被利用的漏洞中。
研究动机与发现
Leviev表示,在发现BlackLotus UEFI Bootkit也包含软件降级组件后,他受到启发开始检查 Windows Update。 他在 Windows Update 架构中发现了几个漏洞,可以降级关键操作系统组件,绕过 Windows 虚拟化安全(VBS)UEFI 锁定,并暴露虚拟化堆栈中过去的权限提升漏洞。
Microsoft 回应与修补计划
Microsoft 发言人向《SecurityWeek》表示,公司正在开发安全更新,将撤销过时的、未修补的 VBS 系统文件,以缓解这一威胁。 由于需要阻挡大量文件,因此需要进行严格测试以避免整合失败或倒退。
Microsoft计划在Leviev的黑帽演示同日发布CVE,并将在可用时向客户提供缓解措施或相关风险降低指导。 目前尚不清楚全面修补程序何时发布。
更多技术细节与影响
Leviev 还展示了针对 Windows 虚拟化堆叠的降级攻击,利用了一个设计缺陷,允许较低权限的虚拟信任级别更新位于较高权限虚拟信任级别的组件。
他将这些软件降级回滚描述为「无法检测」和「不可见」,并警告这种骇客攻击的影响可能超出 Windows 操作系统的范围。
最新进展
Microsoft 于周三发布了两个新的公告,描述了 SafeBreach 的 Leviev 发现的 Windows 漏洞:CVE-2024-21302和CVE-2024-38202。
该公司表示正在开发安全更新以缓解威胁,但目前尚未提供。 同时,Microsoft 已分享指导方针,帮助客户降低与这些漏洞相关的风险。