2024 Black Hat USA 컨퍼런스에서 SafeBreach 연구원 Alon Leviev는 작업 목록 XML 파일을 조작하여 모든 Windows 확인 단계를 우회하는 "Windows Downdate" 도구를 푸시하는 공격을 발표했습니다. 신뢰할 수 있는 설치 프로그램. 이 도구는 Windows를 조작하여 시스템이 완전히 업데이트되었는지 확인할 수도 있습니다.

Windows 업데이트 프로세스는 이전에 손상되었습니다. 2023년에 출시된 BlackLotus UEFI Bootkit에는 Windows 업데이트 아키텍처의 취약성을 활용하는 다운그레이드 기능이 포함되어 있습니다. Leviev가 선보인 방법과 유사하게 BlackLotus Bootkit은 VBS UEFI 잠금을 우회하기 위해 다양한 시스템 구성 요소를 다운그레이드합니다. 그런 다음 위협 행위자는 이전에 최신 시스템에 대해 권한 상승 "제로 데이" 공격을 사용할 수 있습니다. Leviev는 SafeBreach의 블로그 게시물에서 “UEFI 잠금을 적용한 경우에도 Credential Guard 및 HVCI(하이퍼바이저 보호 코드 무결성)와 같은 기능을 포함하여 Windows VBS(가상화 기반 보안)를 비활성화하는 여러 가지 방법을 발견했습니다. 제가 아는 한, VBS의 UEFI 잠금이 물리적인 접근 없이 우회된 것은 이번이 처음입니다.”

Leviev는 올해 2월 Microsoft에 이 취약점을 알렸습니다. 그러나 Microsoft는 오래되고 패치가 적용되지 않은 VBS 시스템을 폐지하기 위한 보안 업데이트를 계속 개발하고 있습니다. 또한 Microsoft는 "완화 또는 관련 위험 감소 지침이 제공되는 대로 고객에게 제공"하는 가이드를 출시할 계획입니다. Leviev에 따르면 이러한 공격은 감지할 수 없고 보이지 않기 때문에 지침이 필요합니다. 자세한 내용을 알아보거나 악용 사례를 보려면 아래 리소스를 방문하세요.