在本周舉行的黑帽大會（Black Hat 2024）上，安全研究員Alon Leviev曝光了一個微軟Windows操作系統的“超級漏洞”，該漏洞使得攻擊者可以利用微軟更新進程實施降級攻擊，“復活”數以千計的微軟Windows漏洞，即便是打滿補丁的Windows11設備也將變得千瘡百孔，脆弱不堪。

把微軟的更新服務變成“超級木馬”

在與微軟協調后，Leviev在黑帽大會上公布了Windows降級攻擊技術Windows Downdate的細節，這是一種可以操縱Windows Update更新進程的技術，使得惡意行為者能夠將系統關鍵組件降級，進而使安全補丁失效。

“通過Windows Downdate，我可以完全控制Windows Update進程，降級對象包括DLL、驅動程序甚至NT內核在內的關鍵操作系統組件，包括微軟的虛擬化堆棧也不能幸免。”Leviev在黑帽大會上說道：“這讓我能夠繞過所有驗證步驟，使得完全打補丁的Windows機器也容易受到成千上萬個已修復漏洞的攻擊。”

Leviev的技術靈感來自于2023年的BlackLotus UEFI啟動套件（Bootkit），該Bootkit通過降級Windows引導管理器，利用CVE-2022-21894漏洞繞過安全引導并禁用其他操作系統安全機制（例如BitLocker、HVCI和Windows Defender）。

“我發現了一些漏洞，可用于開發Windows Downdate工具，以接管Windows Update進程，制造完全不可檢測、隱形、持久且不可逆轉的關鍵操作系統組件降級，”Leviev在其研究報告中說道。

Leviev還找到了繞過UEFI鎖來禁用Windows基于虛擬化的安全性(VBS)、Credential Guard和虛擬機管理程序保護的代碼完整性(HVCI)的方法。

“我能夠讓一臺完全修補過的Windows機器受到過去存在的數千個漏洞的攻擊，將已修復的漏洞變成零日漏洞，并讓世界上任何一臺Windows機器上的‘完全修補’一詞都變得毫無意義。”Leviev總結道。

被低估的降級攻擊威脅

此次漏洞的發現引發了廣泛關注。Everest Group的高級分析師Arjun Chauhan指出，雖然微軟尚未觀測到此類降級攻擊在野外發生，但SafeBreach團隊在六個月前報告漏洞后，微軟仍未提供可靠解決方案，這引發了業界對微軟響應能力的擔憂。

降級攻擊又稱版本回滾攻擊，是一種通過將軟件恢復到舊版本，從而利用已修復漏洞的網絡攻擊。Chauhan指出，此類攻擊可能對嚴重依賴Windows環境的企業和機構產生深遠影響。“這些攻擊可以逆轉安全補丁，使系統重新暴露于先前已經修復的漏洞，增加數據泄露、未經授權訪問和敏感信息丟失的風險。”

此外，降級攻擊可能通過破壞關鍵基礎設施而中斷運營，導致停機和經濟損失。金融服務、醫療、政府和公共部門等具有嚴格合規要求的行業尤其脆弱。一旦這些行業遭受成功的降級攻擊，可能會導致合規處罰，品牌和客戶信任也將蒙受巨大損失。

Leviev表示，降級攻擊的威脅不僅限于Windows系統，且難以被標準的端點安全或EDR工具檢測到，業界需要對操作系統降級攻擊進行廣泛關注和研究。Leviev強調，操作系統的設計功能無論多舊，都應視為潛在的攻擊面。

盡管微軟尚未對此研究結果發表公開聲明，但該公司已經發布了兩個公告——CVE-2024-38202和CVE-2024-21302，微軟警告說Windows Backup中的提權漏洞可能允許攻擊者重新引入先前已修復的漏洞或繞過虛擬化安全功能（VBS）。

Chauhan建議，微軟發布永久解決方案之前，企業應密切監控降級嘗試，限制管理權限，并嚴格執行最小權限原則（PoLP）。