Windows 11 安全漏洞揭示：升级过程遭受攻击

关键要点

攻击者可以通过编辑 Windows 注册表，干扰 Windows 更新过程，使其降级到易受攻击的旧版 Windows。安全研究员 Alon Leviev 在黑帽安全大会上展示了这一攻击手法，表明 Windows 系统存在严重的安全隐患。虽然目前尚未有漏洞补丁，微软已发布一些安全建议以降低风险。

随着对 Windows 11 安全性的审查，研究发现其系统的安全性可因对 Windows 更新过程的操控而完全崩溃。通过简单的注册表编辑，攻击者能够迫使系统降级到过时的易受攻击版本，并利用这一缺陷进行恶意操作。现在，尽管微软尚未发布补丁来阻止这种攻击，但已提供了一些降低风险的建议。

以色列的安全研究员 Alon Leviev 在拉斯维加斯的黑帽安全大会上演示了这一攻击方法。使用他自行开发的工具“Windows Downdate”，Leviev 成功地实现了以下操作：

操作描述降级 Windows将 Windows 降级到已知存在漏洞的早期版本禁用保护关闭 Windows 安全内核虚拟化进程窃取信息获取所有用户的用户名和哈希密码禁用防护软件关闭内置的 Windows Defender 终端保护软件降级 HyperV将 Windows HyperV 降级到易受攻击的版本

Leviev 提到，尽管存在这些隐藏的破坏行为，Windows 更新工具的系统检查却依旧显示机器是完全更新的。他在 SafeBreach 的一篇博客中表示：“我能够让一个完全打补丁的 Windows 机器容易受到过去数千个漏洞的攻击，这让‘完全打补丁’在任何 Windows 机器上变得毫无意义。”

极光加速器试用

权限要求与攻击方式

进行 Windows Downdate 攻击需要本地用户具备管理权限。然而，这并不是一个高门槛，因为每个 Windows 系统默认将其第一个用户设置为管理员，任何感染用户账户的恶意软件都会拥有与用户相同的系统权限。

在 Leviev 的演示中，他还透露了另一种降级攻击，涉及系统升级后创建的临时 Windowsold 文件夹。这个攻击可以被普通的非特权用户执行，并迫使 Windows 在系统恢复过程中使用恶意版本的 Windowsold。

微软的回应

为了响应 Leviev 的报告，微软发布了两则关于这些攻击的常见漏洞与暴露(CVE)通知： CVE202421302 针对 Windows Downdate 方法 CVE202438202 针对 Windowsold 方法

目前尚未有针对这两种攻击的补丁，但微软已建议采取措施以减小被利用的风险。

8 月 13 日，在新闻发布后不久，微软发布了“选择性撤销策略减轻措施”，但同时表示这些措施本身仍存在风险。

向黑色技术反击

Leviev 指出，其对 Windows 降级攻击的兴趣源于 2022 年的 BlackLotus 启动工具，它将 UEFI 系统启动过程回滚至已知存在漏洞的较旧 Windows 启动管理器版本。

虽然微软通过撤销旧版权限并推出系统补丁来减轻 BlackLotus 的风险，但 Leviev 对是否存在其他 Windows 进程易受到降级攻击表示怀疑。他选择了 Windows 更新，认为这是最不引人怀疑的目标。

经过反复试验，Leviev 发现 Windows 更新组件不可渗透，但指向 Windows 更新执行指令的注册表路径却是脆弱的。通过管理权限，他成功修改注册表，使它指向一个不同的恶意操作列表，从而实施