据Hackread消息，在最近的一项研究中，SafeBreach Labs 研究员揭露了一种新的攻击技术，能够操纵Windows 11系统在更新时降级关键系统组件，从而让一些漏洞修复补丁失效。

该攻击原理最初于2024 年 8 月在Black Hat USA 2024上披露，而现在研究人员公布了更多细节，以加强公众对这次攻击的了解。

这种被称为 Windows Downdate 的技术利用的其中一个漏洞是“ItsNotASecurityBoundary”驱动程序签名强制 （DSE） 绕过，能允许攻击者加载未签名的内核驱动程序，将经过验证的安全目录替换为恶意版本，从而能够加载未签名的内核驱动程序。

比如，攻击者可以针对特定组件，例如解析安全目录所必需的“ci.dll”模块，并将它们降级到易受攻击的状态，从而能够利用此绕过并获得内核级权限。

"ItsNotASecurityBoundary "DSE 绕过是一类名为 "虚假文件不变性"（FFI）的新漏洞的一部分，利用了关于文件不可变性的错误假设 ，允许通过清除系统工作集来修改 "不可变 "文件。

研究人员概述了在具有不同级别虚拟化安全（VBS）保护的 Windows 系统中可利用漏洞的步骤，发现了多种禁用 VBS 关键功能的方法，包括凭证防护和受管理程序保护的代码完整性（HVCI）等功能，甚至首次使用了 UEFI 锁。

要利用没有 UEFI 锁的系统，攻击者必须通过修改注册表设置来禁用 VBS。一旦禁用，就可以将 ci.dll 模块降级到易受攻击的版本，并利用“ItsNotASecurityBoundary”漏洞。对带有 UEFI 锁和 "强制（Mandatory ）"标志的 VBS 是最安全的配置，即使锁被绕过，VBS 也不会被禁用。 研究人员解释说，目前还没有已知的方法可以在没有物理访问的情况下利用具有这种保护级别的系统。

总体而言，这种 Windows 更新接管功能允许攻击者加载未签名的内核驱动程序、启用自定义 rootkit 以解除安全控制、隐藏进程并保持隐蔽性，从而对企业构成了重大威胁。攻击者可以对关键操作系统组件（包括 DLL、驱动程序甚至 NT 内核）进行自定义降级。 通过对这些组件进行降级，攻击者可以暴露以前修补过的漏洞，使系统容易被利用。

为降低风险，企业应及时更新系统，打上最新的安全补丁，以解决漏洞问题，同时部署有效的端点检测和响应（EDR）解决方案，以检测和响应恶意活动，防止未经授权的访问和数据泄露。 此外，使用 UEFI 锁定和 "强制 "标志启用 VBS 还能提供额外的保护。

参考来源：

New Attack Lets Hackers Downgrade Windows to Exploit Patched Flaws