關於電子設備安全性的最重要建議之一是確保它們是最新的。
一名安全研究人員發現了一種新的攻擊,可以永久降低 Windows 設備的性能。有關攻擊的信息可在安全突破網站。
Microsoft 每月發布 Windows 安全更新。它還可能發布越界安全更新;當新的漏洞被積極利用時,這些漏洞就會被釋放。
很高興知道:降級是指從設備上卸載某些更新。這可能指卸載較新的功能更新,也指卸載較新版本的 Windows。
雖然有時需要降級電腦,例如當新版本導致當時無法修復的問題時,該過程也可用於從操作系統中刪除某些安全更新或保護。
安全研究員 Alon Leviev 開發了 Windows Downdate 工具來證明降級攻擊是可能的,即使是在完全修補的 Windows 版本上也是如此。
他這樣描述該工具:“一個接管 Windows 更新過程的工具,可以對關鍵操作系統組件進行完全不可檢測、不可見、持久且不可逆的降級,這使我能夠提升權限並繞過安全功能”。
借助該工具,Leviev 能夠將經過全面修補和安全保護的 Windows 設備轉變為“容易受到過去數千個漏洞影響”的過時 Windows 設備。
Leviev 在 Black Hat USA 2024 和 Def Con 32 上公佈了該研究項目。他在演示期間成功降級了完全打補丁的 Windows 系統,並以特殊方式準備了系統,以便 Windows Update 找不到新的更新。
更糟糕的是,降級攻擊既無法被端點檢測和響應解決方案檢測到,也無法被操作系統組件察覺。換句話說,操作系統看起來是最新的,但實際上並非如此。
降級也是持久且不可逆轉的。後者意味著掃描和修復工具無法檢測到問題或可能修復降級。
您可以查看 SafeBreach 網站上的博客文章以了解技術詳細信息。
微軟的回應
微軟已提前獲悉該漏洞。它在這裡跟踪問題:
- CVE-2024-21302— Windows 安全內核模式特權提升漏洞
- CVE-2024-38202— Windows 更新堆棧特權提升漏洞
Microsoft 將這兩個問題的最大嚴重性設置為“重要”。
Microsoft 已向 Microsoft Defender for Endpoint 添加了檢測。這樣做的目的是提醒客戶注意漏洞嘗試。
建議閱讀:PSA:新的網絡釣魚“MFA 轟炸”針對 Apple ID 進行攻擊
該公司建議採取幾項與之相關的行動。雖然它們不會“減輕漏洞”,但它們“降低了被利用的風險”。
簡而言之:
- 配置“審核對象訪問”設置以監視訪問文件的嘗試,例如句柄創建、讀/寫操作或對安全描述符的修改。
- 審核用於識別 VBS 相關文件的訪問、修改或替換的敏感權限可能有助於指示利用此漏洞的嘗試。
- 通過調查標記為有風險登錄的管理員和用戶並輪換其憑據來保護 Azure 租戶。
- 啟用多重身份驗證還可以幫助減輕對帳戶受損或暴露的擔憂。
結束語
該攻擊確實需要管理權限。一個好的預防措施是使用常規用戶帳戶在 Windows PC 上進行日常活動。微軟將在未來發布該問題的修復程序。
您對此有何看法?請隨時在下面發表評論。