吳明宜SafeBreach Labs 研究人員發現微軟 Windows Update 架構有重大漏洞,警告駭客可能藉此發動軟體降級攻擊,使 Windows 機器的「修補完全」狀態破功。
在拉斯維加斯的 Black Hat 大會上,研究人員 Alon Leviev 展示研究發現,二個漏洞讓他可以在 Windows 關鍵元件,包括 DLL 、及 NT 核心製造降級、提升權限以及繞過安全功能。而且經過降級攻擊,即使所有元件都退到舊版,但查詢 Windows Update 時,OS 會顯示修補完成,且復原與掃瞄工具都無法偵測到。
這位以色列研究人員說,他找到多個方法得以關閉 Windows 虛擬化安全 (virtualization-based security, VBS) 中的憑證防衛 (Credential Guard) 和 HVCI (Hypervisor-Protected Code Integrity),即使 UEFI 鎖開啟時也擋不住攻擊。他說,這是 VBS 的 UEFI 保護鎖首次可以被遠端繞過(無需實際接觸到電腦)。利用降級攻擊,一個修補完全的 Windows 機器會重新出現數千個之前的漏洞,而變成零時差漏洞。
Leviev 並補充,由於端點偵測回應 (EDR) 產品無法封鎖其攻擊手法,因此這降級攻擊 (downgrade attack) 無法被偵測,且從 Windows Update 報告也會被誤導以為 OS 是修補完全的(即使已被降級)。
漏洞已存在 6 個月
研究人員是在今年二月就通報微軟,直到現在才公佈。微軟上周發佈漏洞編號,包括 CVE-2024-38202 (Windows Update Stack Elevation of Privilege) 和 CVE-2024-21302 (Windows Secure Kernel Mode Elevation of Privilege),風險值分別是 7.3 和 6.7 。 Windows 10 、 11 及 Windows Server 都受漏洞影響。
微軟說修補程式現在還在開發中,不過也說尚未偵測到漏洞攻擊的跡象。在有更新程式之前,微軟建議,配置 Audit Object Access 設定,監控是否有可疑存取行為,並稽核存取、修改 VBS 相關檔案的權限、輪換金鑰、啟用多因素驗證等,以降低風險。