详细内容或原文请订阅后点击阅览
VBS 绕过:黑客攻破 Windows 最后一道防线
许多功能需要特殊配置以防止更新回滚攻击。
来源:安全实验室新闻频道一堆功能需要特殊设置,以防止更新回滚的攻击。
SafeBreach专家Alon Leviev发现,攻击者可以使用过时的Windows组件绕过密钥保护,例如驾驶员签名强制执行,即使在完全更新的系统上也可以引入Rutkin。通过拦截Windows更新过程,这种攻击方法已成为可能,这使得可以在更新的系统上安装脆弱的,过时的组件而不更改其状态。
Safebreach div> 发现Leviev还开发了Windows下载工具,该工具使您可以创建自定义回滚,并使“完全更新”的系统容易受到已纠正的缺点的影响。 Leviev说,他能够使以前消除的漏洞再次变得相关,这实际上贬低了“完全更新”窗口的概念。此方法称为下载ataka。
Windows Downtate, 降级-Ataka div>使用这种方法,研究人员揭示了一个新的漏洞CVE-2024-21302(CVSS:6.7评级),这使您可以增加Windows设备(包括虚拟机和其他功能)上的特权。微软迅速纠正了漏洞,因为它越过了所谓的“安全边框”。但是,捕获更新本身的方法保持不变,因为它不被视为直接违反安全性。
确定的 div> CVE-2024-21302 div>尽管进行了纠正,但错误仍然是危险的,因为通过捕获更新过程,攻击者可以恢复系统中的旧问题。攻击的攻击之一是驾驶员签名执行(DSE)功能,通常不允许启动未签名的驱动程序。恢复了DSE的脆弱性后,黑客可以将恶意驱动程序加载到系统中,并掩盖其绕开窗户保护机制的操作。
vbs