Undetectable Windows Update Downgrade-Angriff setzt vollständig aktualisierte Systeme aus

Alon Leviev, ein Sicherheitsforscher bei SafeBreach, hat dringende Aufmerksamkeit auf Software-“Downgrade-Angriffe” auf Windows 10, Windows 11 und Windows Server-Systeme gelenkt, die es ermöglichen, vollständig aktualisierte Software auf eine ältere Version mit bekannten, ausnutzbaren Schwachstellen zurückzusetzen.

Bei der Ankündigung auf der laufenden Sicherheitskonferenz “Black Hat 2024” in Las Vegas warnte Leviev, dass böswillige Akteure zuvor “vollständig gepatchte” Schwachstellen ausnutzen können, um Systeme zu kompromittieren und unbefugten Zugriff zu erlangen.

Leviev zeigte, wie der Windows-Update-Prozess kompromittiert werden könnte, um kritische Betriebssystemkomponenten, einschließlich dynamischer Linkbibliotheken (DLLs), Treiber und sogar den NT-Kernel, herabzustufen.

Obwohl ein Downgrade-Angriff alle kritischen Komponenten auf die älteren Versionen zurücksetzen würde, würde die Update-Prüfung fälschlicherweise melden, dass das Betriebssystem (OS) vollständig aktualisiert und nicht in der Lage sei, zukünftige Updates zu installieren, während Wiederherstellungs- und Scanning-Tools keine Probleme identifizieren konnten.

„Ich habe mehrere Schwachstellen gefunden, die ich verwendet habe, um Windows Downdate zu entwickeln – ein Tool, um den Windows Update-Prozess zu übernehmen und vollständig unentdeckbare, unsichtbare, persistente und irreversible Downgrades auf kritischen OS-Komponenten zu erstellen – das es mir ermöglichte, Privilegien zu erhöhen und Sicherheitsfunktionen zu umgehen. Infolgedessen konnte ich eine vollständig gepatchte Windows-Maschine anfällig für Tausende von früheren Schwachstellen machen, wodurch behobene Schwachstellen in Zero-Days umgewandelt wurden und der Begriff „vollständig gepatcht“ auf jeder Windows-Maschine der Welt bedeutungslos wurde“, schrieb Leviev in einem Blogbeitrag.

Der israelische Forscher konnte erfolgreich den Isolated User Mode Process von Credential Guard, den Secure Kernel und den Hypervisor von Hyper-V herabstufen, indem er die Zero-Day-Schwachstellen ausnutzte, wodurch frühere Privilegieneskalationsschwachstellen offengelegt wurden.

„Ich habe mehrere Möglichkeiten entdeckt, die auf Windows basierende Virtualisierungssicherheit (VBS) zu deaktivieren, einschließlich ihrer Funktionen wie Credential Guard und Hypervisor-geschützte Codeintegrität (HVCI), selbst wenn sie mit UEFI-Sperren durchgesetzt werden. Meines Wissens ist dies das erste Mal, dass die UEFI-Sperren von VBS ohne physischen Zugriff umgangen wurden“, enthüllte Leviev.

„Infolgedessen konnte ich eine vollständig gepatchte Windows-Maschine anfällig für Tausende von früheren Schwachstellen machen, wodurch behobene Schwachstellen in Zero-Days umgewandelt wurden und der Begriff „vollständig gepatcht“ auf jeder Windows-Maschine der Welt bedeutungslos wurde.“

Laut Leviev ist dies das erste Mal, dass die UEFI-Sperren der virtualisierungsbasierten Sicherheit (VBS) ohne physischen Zugriff umgangen wurden. Die Auswirkungen seiner Forschung sind nicht nur für Microsoft Windows, sondern auch für alle OS-Anbieter, die möglicherweise von Downgrade-Angriffen betroffen sind, erheblich.

SafeBreach Labs berichtete im Februar dieses Jahres über den Downgrade-Angriff, der als „Windows Downdate“ bezeichnet wird, an Microsoft im Rahmen eines koordinierten verantwortungsvollen Offenlegungsprozesses. Sechs Monate nach der Meldung enthüllte Leviev den Downgrade-Angriff „Windows Downdate“ der Öffentlichkeit.

Microsoft hat Hinweise zu den beiden ungepatchten Zero-Day-Schwachstellen (verfolgt als CVE-2024-38202 und CVE-2024-21302) herausgegeben und erklärt, dass Kunden benachrichtigt werden, wenn die offizielle Minderung in einem Windows-Sicherheitsupdate verfügbar ist. Es wurde auch gesagt, dass keine Versuche bekannt sind, diese Schwachstellen in der Wildnis auszunutzen.

In der Zwischenzeit hat das Unternehmen Empfehlungen gegeben, die die Schwachstellen nicht mindern, aber verwendet werden können, um das Risiko einer Ausnutzung zu verringern, bis das Sicherheitsupdate verfügbar ist.

„Wir schätzen die Arbeit von SafeBreach bei der Identifizierung und verantwortungsvollen Meldung dieser Schwachstelle durch eine koordinierte Schwachstellenoffenlegung. Wir entwickeln aktiv Minderungstechniken, um gegen diese Risiken zu schützen, während wir einem umfangreichen Prozess folgen, der eine gründliche Untersuchung, die Entwicklung von Updates für alle betroffenen Versionen und Kompatibilitätstests umfasst, um maximalen Kundenschutz bei minimalen Betriebsunterbrechungen zu gewährleisten“, sagte ein Microsoft-Sprecher in einer Erklärung.