在电子设备的安全性方面,最重要的建议之一是确保它们是最新的。
一名安全研究人员发现了一场新的攻击,该攻击永久降低了Windows设备。有关攻击的信息可在安全文化网站。
Microsoft发布了Windows的月度安全更新。它还可能发布越野安全更新;这些新漏洞被积极利用时会发布。
众所周知:降级是指从设备中卸载某些更新。这可能是指卸载更新的功能更新,但也指卸载了较新版本的Windows。
虽然有时需要降级PC,例如,当新版本引起当时无法解决的问题时,该过程也可用于删除操作系统的某些安全更新或保护。
Windows降级攻击
安全研究人员阿隆·列维耶夫(Alon Leviev)开发了工具窗口的日期,以证明即使在窗口的完全修补版本上,也可以降低攻击。
他用以下方式描述了该工具:“一种接管Windows更新过程的工具,可以在关键的OS组件上制作完全无法检测,无形,持久性和不可逆降级的工具 - 这使我能够提高特权和旁路安全功能”。
在该工具的帮助下,Leviev能够将完全修补和安全的Windows设备转到过时的Windows设备,这些设备“容易受到数千个过去漏洞的影响”。
Leviev在Black Hat USA 2024和DEF CON 32上揭幕了研究项目。他在演示过程中成功地降级了一个完整的Windows系统,并以特殊的方式准备了系统,因此Windows Update无法找到新的更新。
更糟糕的是,降级攻击既无法通过端点检测和响应解决方案进行检测,又是关于操作系统组件的看不见的。换句话说,操作系统实际上并非如此。
降级也是持久和不可逆的。后者意味着扫描和维修工具无法检测到问题或可以修复降级。
您可以在Safebreach网站上查看博客文章以获取技术详细信息。
微软的响应
Microsoft事先告知了该漏洞。它在此处跟踪问题:
- CVE-2024-21302- Windows安全内核模式特权漏洞的高程
- CVE-2024-38202- Windows Update Update stack temerge脆弱性
这两个问题的最大严重程度都被微软设定为重要。
Microsoft已经为Microsoft Defender添加了检测,以进行端点。这旨在提醒客户利用尝试。
该公司建议在此旁边采取几项措施。尽管他们没有“减轻脆弱性”,但它们“降低了剥削的风险”。
简而言之:
阅读更多:在TVOS 17.4 Beta中发现的“ HONSO”的引用
- 配置“审核对象访问”设置,以监视访问文件的尝试,例如处理创建,读 /写操作或对安全描述符的修改。
- 用于确定访问,修改或更换VBS相关文件的敏感特权可以帮助指示试图利用此漏洞。
- 通过调查管理人员和用户为风险的标记并旋转其证书来保护您的Azure租户。
- 启用多因素身份验证还可以帮助减轻对账户折衷或暴露的担忧。
闭幕词
攻击确实需要行政特权。一个良好的预防措施是在Windows PC上使用常规用户帐户进行日常活动。 Microsoft将来将发布该问题的修复程序。
您对此有何看法?随时在下面发表评论。