近期，SafeBreach 的安全研究员 Alon Leviev 发布的一项研究引发了安全圈的广泛关注。这项研究揭示了一个令人不安的现象：即使是已修补的 Windows 系统，也能被黑客利用绕过微软的驱动程序签名强制执行（DSE），通过降级未签名内核驱动程序，从而打开系统的大门。这一发现不仅挑战了我们对 Windows 安全性的传统理解，更为攻击者带来了新的可能——系统降级攻击。

　　这项研究的起源来自于对 Windows 更新过程的分析。研究人员发现，Windows 系统存在两个新的特权提升漏洞——CVE-2024-21302 和 CVE-2024-38202，攻击者可以借助这两个漏洞，将系统回滚到未修补的旧版本，而旧版本中可能存在尚未解决的安全隐患。正是基于这一思路，研究人员开发出了一款名为“Windows Downdate”的工具，可以通过控制更新过程来实现不可检测、持久、甚至不可逆的系统降级。借此手段，攻击者不仅能够获得比 “自带脆弱驱动程序”（BYOVD）更灵活的操作权，还能够实现对系统关键模块的操控，甚至对操作系统内核本身进行降级。这种能力让黑客可以深度隐藏自己的活动，包括隐藏进程、屏蔽网络流量等，进而维持持久隐蔽。

　　研究人员在操作过程中，通过竞争条件的漏洞替换了经过验证的安全目录文件，从而加载了未签名的内核驱动程序。整个过程需要关闭目标主机上的虚拟化安全（VBS），并降级 ci.dll 库至一个未修补的旧版本，以实现内核级的代码执行。这种绕过方式最早由 Elastic Security Labs 的研究员 Gabriel Landau 在 2024 年 7 月发现，称为“虚假文件不可变性”漏洞。

　　微软已在 2024 年 8 月和 10 月的安全更新中发布了这两个漏洞的补丁，修复了相关问题。然而，对于那些虚拟化安全（VBS）未启用、或系统配置不完善的用户，攻击者仍然可以轻松关闭 VBS 实施攻击。为了有效防护此类攻击，专家建议用户确保 VBS 启用，并在 UEFI 设置中应用强制锁定标志，以最大化系统的安全性。