科技世界中,保持個人電腦的安全至關重要。然而,一種名為“降級攻擊”的新型威脅正悄然興起,旨在繞過微軟的安全補丁,對系統構成致命風險。據SafeBreach公司的安全研究員Alon Leviev透露,他們開發了一款名為“Windows Downdate”的工具作為概念驗證。
這款工具能夠對Windows Server系統及Windows 10和11組件進行持久且不可逆的版本回滾。Leviev解釋稱,這種攻擊手段旨在將免疫并完全更新的軟件回滾至較舊版本,讓惡意攻擊者得以利用已被修復或打補丁的漏洞,從而入侵系統并獲取非法訪問權限。
此外,該工具還提供了一種簡便的方法,用于暴露并利用源自驅動程序、DLL、安全內核、NT內核、虛擬機等的舊版本漏洞。Leviev在其X(原Twitter)上分享道:“除了自定義降級外,Windows Downdate還提供了回滾CVE-2021-27090、CVE-2022-34709、CVE-2023-21768和PPLFault等漏洞的示例,以及降級虛擬機、內核和繞過VBS的UEFI鎖等示例。”
更令人擔憂的是,這款工具無法被終端檢測與響應(EDR)解決方案阻止,即使Windows計算機持續顯示為最新狀態,但實際上它并未更新。Leviev還揭露了多種關閉Windows虛擬化基礎安全(VBS)、包括Hypervisor-Protected Code integrity(HVCI)和Credential Guard的方法。
微軟于8月7日發布了安全更新(KB5041773),以修復CVE-2024-21302 Windows安全內核模式特權提升漏洞,并修補CVE-2024-38202漏洞。微軟還提供了Windows用戶可采取的若干安全措施,如配置“審計對象訪問”設置以掃描文件訪問嘗試。這款新工具的發布凸顯了PC面對各種攻擊的脆弱性,提醒我們永遠不應放松對網絡安全的關注。
好消息是,由于這款工具僅作為概念驗證存在,其目的是在威脅行為者發現漏洞之前,通過“白帽黑客”活動來發現漏洞,因此我們目前可以安心。此外,Leviev已于2024年2月向微軟提交了其發現結果,希望微軟能盡快推出相應的修復方案。
Post by Tom
IT之家訊 一直以來微軟都是通過定期發布安全更新來保證用戶操作系統安全,不過這并不足以應對日益嚴峻的網絡安全問題。在Win10中,微軟提供了新的機制讓用戶免遭動態腳本惡意軟件及其他網絡攻擊的威脅。
Windows10提供了名為AMSI(Antimalware Scan Interface)的接口,這是一個Win32 API,該接口將允許應用程序和服務與用戶電腦中已經安裝的反病毒軟件相結合,使得應用軟件具備已安裝反病毒軟件的掃描能力。應用程序和服務可以隨時調用AMSI接口以檢查系統中存在的安全威脅。
微軟解釋稱,“通過新的安全機制,將能夠對系統中的惡意軟件進行更深層次的掃描,從而為用戶提供額外的深層防護。”應用程序可以使用AMSI接口掃描文件,內存、數據流等,對內容源URL/IP進行審查,并采取技術手段識別惡意行為。
微軟稱借助該技術即時通信類應用程序將能夠快速掃描到病毒類型的即時消息,游戲類應用也將能夠在插件被安裝到電腦中之前對其進行安全檢查。
微軟鼓勵應用開發者充分利用該接口來保護用戶免受惡意軟件侵擾,并呼吁反病毒軟件開發商在其產品中添加對該接口的支持。(Via: betanews)