今年8月资安业者SafeBreach在Black Hat USA 2024、DEF CON 32两场大型资安会议上,揭露研究人员提及,虽然微软对CVE-2024-21302发布了修补程式,但他们发现,微软目前只处理已跨越安全边界的部分,而对于能够接管自动更新机制Microsoft Update的部分,由于这项弱点涉及以管理员身分执行核心程式码,微软不认为此举跨越安全边界而未处理,但实际上,仍有可能遭人滥用。
他们发现,攻击者若是能利用接管Microsoft Update的弱点,就有机会绕过驱动程式强制签章(DSE)的系统核心防护机制,进而载入尚未签章的驱动程式,并部署rootkit恶意程式,甚至能隐藏特定处理程序、网路活动、破坏作业系统的安全管控机制。研究人员将这种攻击手法命名为ItsNotASecurityBoundary,并在完整套用所有更新的Windows 11 23H2作业系统上,展示如何用来发动降级攻击,