早在今年 2 月,資安廠商 SafeBreach 安全研究員 Alon Levie 已向微軟通報兩個可能引發「降級攻擊」的零時差漏洞。經過 6 個月遲遲未見官方更新修補後,他便在 8 月拉斯維加斯舉辦的美國黑帽大會(Black Hat USA 2024)上,石破天驚地展示了「降級攻擊」,該攻擊能讓企業完全修補好的 Windows 系統做白工。換言之,該攻擊可以在系統不知不覺的狀態下回復到未修補的狀態,甚至重新引入舊的漏洞,讓系統身陷數千個漏洞攻擊的可能風險中。
這個全新「降級攻擊」(downgrade attack)的可怕之處在於,惡意攻擊者能強制將已更新的目標 Windows 電腦回復到舊的軟體版本,重新引進可被用來入侵系統的各種安全漏洞。
「完全修補」成了毫無意義的名詞! Windows 系統已被降級但仍在狀況外
誠如 Levie 在今年黑帽大會上所說的:「我能夠展示如何將已修補漏洞變成零時差漏洞,進而讓一台完全修補好的 Windows 機器回到過去容易招致數千個舊漏洞攻擊的狀態,並且讓『完全修補』這個名詞,從此在世界任何 Windows 電腦上變得毫無意義。」
根據他的發現,Windows 的更新程序可能被攻擊者劫持,進而降級關鍵作業系統元件,包括動態連結程式庫(DLL)和 NT 核心。儘管所有這些元件根本都未更新,但在使用 Windows 更新檢查時,作業系統卻回報已經完全更新,即使透過系統復原和掃描工具也無法偵測到任何問題。
攻擊者還可以透過這些零時差漏洞,進一步降級 Credential Guard 的安全核心、隔離的使用者模式進程(User Mode Process ),以及 Hyper-V 管理程式,進而讓過去的權限提升漏洞再次曝露在外。
Levie 並發現了多種可以禁用 Windows 虛擬化安全性(VBS)的方法,包括其功能,例如 Credential Guard 和 Hypervisor-Protected Code Integrity(HVCI),即使使用了 UEFI Lock 來啟用這些功能也一樣會被禁用。Levie 驚訝地表示,這是 VBS 的 UEFI Lock 第一次在沒有實體存取的情況下被規避。
最令人擔心的是,這種降級攻擊無法被偵測,即使是端點偵測及應變(EDR)解決方案也無法加以封鎖。而且它也是隱形的,這使得系統明明已被降級了,但系統卻毫無知覺,Windows 更新仍可笑地回報「系統已完全更新」。
微軟緊急發布安全公告與緩解建議,更新修補仍在努力開發中
為了呼應 Levie 在 8 月 7 日早上展示如何利用兩個「降級攻擊」漏洞來提升權限、創建惡意更新,以及如何透過將 Windows 系統檔替換成舊版本以便重新引入安全漏洞的演講,微軟隨即在當天發布「Windows 更新堆疊權限提升漏洞」(CVE-2024-38202)和「Windows 安全核心模式權限提升漏洞」(CVE-2024-21302)兩項安全公告,該公司並強調他們仍在努力修復這兩個零時差漏洞。
微軟在公告中指出,CVE-2024-38202 漏洞讓具有基本使用者權限的攻擊者能夠「反修補」先前已緩解的安全漏洞或規避 VBS 功能。具有管理員權限的攻擊者可以利用 CVE-2024-21302 漏洞,將Windows 系統檔更換成過時且易受攻擊的版本。
該公司並在安全公告中提供了權宜性的緩解措施建議,以便讓使用者在正式修補程式發布之前,能夠降低可能的安全風險。微軟並表示,目前尚未發現在現實世界中有任何被廣泛利用此漏洞的攻擊事件。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
