在 2024 年 Black Hat USA 会议上，SafeBreach 研究员 Alon Leviev 提出了一种攻击，该攻击操纵操作列表 XML 文件来推送“Windows Downdate”工具，该工具绕过所有 Windows 验证步骤和值得信赖的安装人员。该工具还可以操纵 Windows 来确认系统已完全更新。

Windows 更新进程之前已被泄露。 BlackLotus UEFI Bootkit 于 2023 年发布，包括利用 Windows 更新架构中的漏洞的降级功能。与 Leviev 展示的方法类似，BlackLotus Bootkit 会降级各种系统组件以绕过 VBS UEFI 锁。然后，威胁行为者可以对以前最新的系统使用权限升级“零日”攻击。在 SafeBreach 的博客文章中，Leviev 表示：“我发现了多种禁用基于 Windows 虚拟化的安全性 (VBS) 的方法，包括 Credential Guard 和虚拟机管理程序保护的代码完整性 (HVCI) 等功能，即使使用 UEFI 锁强制执行也是如此。据我所知，这是 VBS 的 UEFI 锁第一次在没有物理访问的情况下被绕过。”

Leviev 在今年 2 月向微软通报了这些漏洞。不过，微软仍在开发安全更新，以撤销过时且未打补丁的 VBS 系统。微软还计划发布一份指南，“为客户提供缓解措施或相关风险降低指南”。莱维耶夫认为，指导是必要的，因为这些攻击是无法检测和无形的。要了解更多信息或查看实际利用情况，请访问以下资源。