Windows 核心是連接硬體和作業系統的關鍵橋樑。憑藉其強大的預設安全措施,惡意軟體很難入侵您的系統。然而,日益增多的 KASLR 繞過威脅正在利用 Living Off the Land 驅動程式 (LOLDrivers) 中的漏洞和快取計時攻擊來規避提升的存取權限。雖然這些攻擊過去主要針對較舊的系統,但有證據表明,它們現在也威脅 Windows 11 24H2,導致關鍵核心記憶體外洩。以下是有關如何有效修復這些安全漏洞的全面指南。
了解 KASLR 繞過威脅
Windows 核心會嚴格控制對重要係統資源的訪問,包括記憶體和 CPU 使用率。核心位址空間佈局隨機化 (KASLR) 是其採用的關鍵防禦措施之一,旨在模糊記憶體位置,從而大大增加核心級惡意軟體的存取難度。然而,最近的研究進展使得新驅動程式eneio64.sys得以利用,並於 2025 年 6 月成功繞過了 Windows 11 24H2 中的 KASLR 保護機制。
此特定驅動程式被歸類為 LOLDriver,可使用所謂的「Low Stub」技術進行攻擊。本質上,攻擊者利用記憶體掃描和合理的猜測來精確定位系統的記憶體基址。成功繞過核心會為現實世界的攻擊打開大門,凸顯出嚴重威脅等級。
您可以手動檢查 System32 資料夾中是否存在這些驅動程式。如果您沒有偵測到任何問題的驅動程序,則表示它們不存在或已正確刪除。
2025 年 5 月發生的另一個值得注意的漏洞是使用快取計時方法完全繞過 KASLR。攻擊者無需獲得SeDebugPrivilege等權限,即可測量「0xfff」範圍內潛在核心位址的存取延遲。雖然此次攻擊主要針對 Windows 10 及更早的 Windows 11 版本(21H2、22H2、23H2),但 Windows 11 用戶務必升級至 24H2 或更高版本,以增強防禦能力。對於在升級到 24H2 時遇到相容性問題的用戶,我們整理了一份有效的解決方案列表,以幫助您順利過渡。
識別 LOLDrivers 以降低 KASLR 繞過風險
2025 年後,Windows 11 24H2 中的核心安全性增強功能利用了SeDebugPrivilege來提供更強大的保護。然而,惡意攻擊者仍在繼續透過 LOLDrivers 利用 KASLR 繞過技術來滲透最新的 Windows 11 版本。
若要檢查有問題的系統驅動程序,請以提昇模式啟動 PowerShell 並執行下列命令:
Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName
執行此命令後,請監控 LOLDrivers 的輸出。此類驅動程式的範例包括 MsIo64.sys、nt3.sys 和 VBoxTap.sys。為了提高警惕,請參閱 LOLDrivers 的通用清單。
微軟提供了一份全面更新的已封鎖或過時驅動程式列表,其中包括 LOLDrivers。您可以下載此列表的 XML 文件,並使用以下命令專門搜尋有問題的驅動程序,例如 enio64.sys:
Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "eneio64.sys"}
上述方法可確保您的裝置免受易受攻擊的 LOLDrivers 的攻擊,這些驅動程式可能會繞過 KASLR。更方便使用者操作的方法是:前往「Windows 安全性」 -> 「裝置安全性」 -> 「核心隔離詳細資料」,並確認已啟動「記憶體完整性」功能。
KASLR 繞過技術與 Winos 4.0 惡意軟體的行為類似。兩者都具有高度持久性,並透過複雜的攻擊鏈傳遞有效載荷。
透過強制執行 SeDebugPrivilege 來增強 Windows 安全性
快取定時側通道攻擊是與 KASLR 繞過技術相關的重大風險。當攻擊者利用各種方法直接操縱核心記憶體時,他們可以暴露核心位址,而無需SeDebugPrivilege權限(這是自 Windows 11 24H2 推出以來強制實施的關鍵安全措施)。
但是,即使是使用 Windows 10 和 Windows 11 舊版本的使用者仍然可以透過強制執行SeDebugPrivilege來增強其係統。以下是一種快速方法:
在 Windows 10/11 Pro 或 Enterprise 裝置上,按下「執行」命令,輸入secpol.msc,這將開啟「本機安全性原則」視窗。導覽至「本機原則」 -> “使用者權限指派”,然後雙擊「偵錯程式」。
新增使用者後,點選「檢查姓名」 ,然後點選「確定」。最後,選擇「套用」,再次點選「確定」即可完成變更。
如果您使用的是 Windows 10/11 家用版,則無法存取本機安全性原則。請輸入 來存取登錄編輯程式regedit。導航至
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
如果此項尚不存在,請建立。右鍵單擊以建立名為 的新 REG_SZ 值SeDebugPrivilege,並將其值調整為Administrators。請記住,在進行任何更改之前,請務必備份註冊表。
為了抵禦 KASLR 繞過等核心導向的惡意軟體威脅,阻止安裝 Windows 安全性中心標記的驅動程式至關重要。雖然在極少數情況下可能需要未簽署的驅動程序,但遵循這方面的最佳實踐至關重要。保持作業系統更新並採用最新的 Windows 版本是確保系統安全的基礎。
常見問題
1.什麼是 KASLR 以及它對 Windows 安全為何重要?
KASLR(核心位址空間佈局隨機化)是 Windows 中的安全功能,它可以隨機化核心進程的記憶體分配,從而顯著提高惡意軟體預測惡意程式碼注入位置的難度。這種隨機佈局為抵禦核心級攻擊增加了關鍵的防禦層。
2.如何在 Windows 機器上檢查 LOLDrivers?
您可以使用提升模式下的 PowerShell 輕鬆檢查 LOLDrivers。執行該命令Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName即可查看系統上目前安裝的驅動程式清單。
3.如果我的系統驅動程式過時或不安全,我該怎麼辦?
如果您遇到過時或可能不安全的驅動程序,建議將其卸載,並替換為 Microsoft 推薦的安全、最新的驅動程式。此外,您還可以從 Microsoft 下載最新的驅動程式封鎖列表,以識別並阻止安裝已知的不安全驅動程式。
發佈留言