Kurznews: Downgrade-Angriff auf Windows – Alte Schwachstellen erneut ausnutzbar
Microsoft entwickelt derzeit Sicherheitsupdates, um zwei Schwachstellen zu beheben, die für Downgrade-Angriffe auf die Windows-Update-Architektur ausgenutzt werden könnten. Die Schwachstellen ermöglichen es Angreifern, aktuelle Versionen von Betriebssystemdateien durch ältere, verwundbare Versionen zu ersetzen.
Die Schwachstelle CVE-2024-38202 (CVSS-Score: 7.3) führt zu einer Erhöhung der Privilegien in der Windows-Update-Stack-Komponente. Ein Angreifer mit grundlegenden Benutzerrechten kann bereits behobene Schwachstellen erneut einführen oder Sicherheitsfunktionen der Virtualisierungsbasierten Sicherheit (VBS) umgehen. Dies erfordert jedoch, dass ein Administrator oder ein Benutzer mit delegierten Berechtigungen eine Systemwiederherstellung durchführt, die die Schwachstelle auslöst.
Die Schwachstelle CVE-2024-21302 (CVSS-Score: 6.7) führt zu einer Erhöhung der Privilegien im Windows Secure Kernel Mode. Diese Schwachstelle ermöglicht es Angreifern, aktuelle Versionen von Windows-Systemdateien durch veraltete Versionen zu ersetzen, was zu einer erneuten Einführung bereits adressierter Sicherheitslücken führt und einige Funktionen der VBS umgeht.
Entdeckt wurden diese Schwachstellen von Alon Leviev, einem Forscher bei SafeBreach Labs, der die Ergebnisse auf der Black Hat USA 2024 und DEF CON 32 präsentierte.
Leviev stellte ein Tool namens „Windows Downdate“ vor, das vollständig gepatchte Windows-Systeme anfällig für tausende vergangene Schwachstellen machen kann. Es kann den Windows Update-Prozess übernehmen und unentdeckbare, unsichtbare und irreversible Downgrades kritischer Betriebssystemkomponenten durchführen.
Auswirkungen
- Downgrades können die Isolated User Mode Process von Credential Guard, den Secure Kernel und den Hyper-V-Hypervisor zurücksetzen, wodurch alte Privilegienerhöhungsschwachstellen erneut ausnutzbar werden.
- Ein vollständig gepatchtes Windows-System kann als anfällig für vergangene Schwachstellen angesehen werden, was den Begriff „vollständig gepatcht“ bedeutungslos macht.
- Die Schwachstellen können zukünftige Updates verhindern und die Erkennung durch Wiederherstellungs- und Scan-Tools blockieren.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: