Nyare versioner av Windows skyddar vissa komponenter av systemet så att de inte ens kan modifieras av administratörer. I Windows 11 är virtualiseringsbaserat skydd (VBS) standard, men även utan det finns skydd i form av Driver Signature Enforecement (DSE), en teknik som innebär att Windows-kärnan vägrar läsa in drivrutiner som inte har korrekt kryptografisk signatur.
Säkerhetsforskaren Alon Leviev har tidigare visat hur Windows är sårbart för attacker som går ut på att nedgradera enskilda komponenter i systemet till äldre versioner som har kända sårbarheter, för att sedan utnyttja dessa. Microsoft svarade på rapporten men valde att inte göra något, eftersom företaget inte ansåg att metoden kringgår någon definierad säkerhetsbarriär, skriver Bleeping Computer.
På konferenserna Blackhat och Defcon har Alon Leviev visat upp praktiska exempel på hur den här sårbarheten kan utnyttjas på en dator med Windows 11 23H2 med alla tillgängliga uppdateringar. Genom att först lura Windows Update att byta ut filen ci.dll, som sköter DSE, mot en version som ignorerar signaturer är det möjligt att byta ut andra drivrutiner och DLL-filer.
Alon Leviev har även visat en teknik som kan stänga av eller kringgå VBS på system som har den funktionen påslagen – det vill säga de flesta Windows 11-maskiner. Om VBS inte är inställt på maximal säkerhet går det att byta ut skyddade filer, vilket gör datorn sårbar för samma typ av nedgraderingsattacker som ovan.
