Microsoft表示,它正在开发安全更新,以解决两个漏洞,据称这两个漏洞可能被滥用于对Windows更新架构进行降级攻击,并用旧版本替换当前版本的操作系统文件。下面列出了这些漏洞 –CVE-2024-38202 (CVSS 分数:7.3) – Windows 更新堆栈特权提升漏洞CVE-2024-38202 (CVSS score: 7.3) – Windows Update Stack Elevation of Privilege VulnerabilityCVE-2024-21302 (CVSS 评分:6.7) – Windows 安全内核模式特权提升漏洞CVE-2024-21302 (CVSS score: 6.7) – Windows Secure Kernel Mode Elevation of Privilege VulnerabilitySafeBreach Labs 研究员 Alon Leviev 因发现和报告这些漏洞而受到赞誉,他在 Black Hat USA 2024 和 DEF CON 32 上展示了这些发现这家科技巨头表示,CVE-2024-38202 植根于 Windows 备份组件,允许“具有基本用户权限的攻击者重新引入以前缓解的漏洞或规避基于虚拟化的安全 (VBS) 的某些功能”。但是,它指出,试图利用该漏洞的攻击者必须说服管理员或具有委托权限的用户执行系统还原,从而无意中触发该漏洞。第二个漏洞还涉及支持 VBS 的 Windows 系统中的权限提升情况,这实际上允许攻击者用过时的版本替换 Windows 系统文件的当前版本。CVE-2024-21302 的后果是,它可能会被武器化,以重新引入以前解决的安全漏洞、绕过 VBS 的某些功能并泄露受 VBS 保护的数据。列维耶夫详细介绍了一个名为Windows Downdate的工具,他说它可以用来将“完全修补的Windows机器容易受到数千个过去漏洞的影响,将修复的漏洞变成零日漏洞,并使’完全修补’一词在世界上任何Windows机器上都毫无意义。Leviev补充说,该工具可以“接管Windows更新过程,以在关键操作系统组件上制作完全无法检测,不可见,持续和不可逆的降级,这使我能够提升权限并绕过安全功能。此外,Windows Downdate 能够绕过验证步骤,例如完整性验证和受信任的安装程序强制执行,从而有效地降级关键操作系统组件,包括动态链接库 (DLL)、驱动程序和 NT 内核。除此之外,这些问题还可能被利用来降级 Credential Guard 的隔离用户模式进程、安全内核和 Hyper-V 的虚拟机监控程序,以暴露过去的权限提升漏洞,以及禁用 VBS 以及虚拟机监控程序保护的代码完整性 (HVCI) 等功能。最终的结果是,一个完全修补的Windows系统可能会容易受到数千个过去漏洞的影响,并将修复的缺点变成零日漏洞。这些降级会产生额外的影响,因为操作系统报告系统已完全更新,同时阻止安装将来的更新,并禁止通过恢复和扫描工具进行检测。Leviev 说:“我能够在 Windows 内的虚拟化堆栈上实现降级攻击是可能的,因为设计缺陷允许权限较低的虚拟信任级别/环更新位于特权更高的虚拟信任级别/环中的组件。“这非常令人惊讶,因为 Microsoft 的 VBS 功能是在 2015 年发布的,这意味着我发现的降级攻击面已经存在了近十年。”
