Windows 的安全补丁对于保障您的个人电脑免受不断出现的威胁而言至关重要。

SafeBreach 的安全研究人员阿隆·列维耶夫(Alon Leviev)在公司的博客文章中提到,他们创建了一个叫做 Windows Downdate 工具的概念验证。该工具会在 Windows Server 系统以及 Windows 10 和 11 组件上造成持久且不可逆转的降级情况。

列维耶夫解释说,他的工具(以及类似的威胁)实施了一种版本回滚攻击,“旨在将具有免疫能力、完全最新的软件回退到较旧的版本。它们让恶意行为者能够暴露并利用先前已修复/修补的漏洞来破坏系统并获取未经授权的访问权限。”

他还提到,您可以通过该工具让 PC 暴露于源自驱动程序、DLL、安全内核、NT 内核、管理程序等的较旧漏洞。莱维耶夫随后在 X(以前称为 Twitter)上发布了以下内容: “除了自定义降级之外,Windows Downdate 提供了易于使用的示例,用于还原 CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 以及 PPLFault 补丁,以及管理程序、内核降级和绕过 VBS 的 UEFI 锁的示例。”

更令人担忧的是,该工具无法被检测到,因为它无法被端点检测和响应(EDR)解决方案阻止,而且您的 Windows 电脑会一直告诉您它是最新的,可实际上并非如此。他还揭示了多种关闭 Windows 基于虚拟化的安全(VBS)的方法,包括管理程序保护的代码完整性(HVCI)和凭据保护。

微软于 8 月 7 日发布了一个安全更新(KB5041773),以修复CVE-2024-21302 Windows 安全内核模式的权限提升漏洞以及针对CVE-2024-38202 的补丁。微软还发布了一些提示,供 Windows 用户采取以确保安全,例如配置“审核对象访问”设置来扫描文件访问尝试。这个新工具的发布表明了个人电脑在各种攻击面前暴露的程度之高,以及在网络安全方面您永远不应放松警惕。

好消息是,目前我们可以高枕无忧了,因为该工具是作为概念验证创建的,是“白帽黑客”在威胁行为者之前发现漏洞的一个例子。此外,莱维耶夫于 2024 年 2 月将他的发现移交给了微软,希望这家软件巨头很快就能进行必要的修补措施。