Microsoft 不時都會推出 Windows 的安全更新,修補系統中存在的漏洞提升安全性,不過最近有安全研究人員發表一個方法,可以強制移除安全更新,令漏洞重新出現從而進行攻擊。
在最近的 Black Hat 大會上,SafeBreach 的研究員 Alon Leviev 示範了一個強制移除 Windows 安全更新的方式,可以讓已修復的漏洞再次變得可利用。這方式對於已經在受害者電腦上存在的惡意用戶、入侵者和惡意軟件來說非常實用,能夠重新利用舊有漏洞完全劫持系統,甚至不會觸發任何威脅檢測工具。這種強制降級可以在 Windows 10 和 11 以及 Windows Server 版本上進行,甚至連作業系統的虛擬化支援也會受到影響。
這攻擊方式需要已經擁有管理員權限,或能夠讓特權帳戶完成某些步驟。而其實如果已經擁有這類權限,已經可以對系統造成很大損害並竊取大量資料,因此這研究對大多數人來說並沒有太大風險。雖然如此,仍然可能有黑客會利用這方式來深入並持續潛伏在目標環境中,在需要時才發動攻擊。
Microsoft 方面已經針對這些漏洞的發佈了兩個特別公告,將會對其進行修復,包括涉及 Windows Update Stack 的權限提升漏洞的 CVE-2024-38202,以及 Windows 安全內核模式的權限提升漏洞 CVE-2024-21302。Alon Leviev 也開發了一個名為 Windows Downdate 的概念驗證工具,讓人們可以評估自己的系統會否受漏洞影響。
來源:BlackHat
