Windows 10 und 11: Downgrade-Angriff reißt alte Sicherheitslücken wieder auf
Der Sicherheitsforscher Alon Leviev von Safebreach hat im Rahmen der Hackerkonferenz Black Hat 2024 Sicherheitslücken aufgedeckt, die es Angreifern ermöglichen, gepatchte Systeme mit Windows 10 oder Windows 11 wieder anfällig für alte Schwachstellen zu machen. Wie der Forscher in einem Blogbeitrag(öffnet im neuen Fenster) erklärt, soll dieser Downgrade-Angriff persistent, irreversibel und für den Nutzer des Zielsystems nicht erkennbar sein.
Angriffspunkt ist demnach der Windows-Update-Prozess, den Leviev durch eine Schwachstelle unter seine Kontrolle bringen konnte. Auf dieser Basis hat der Forscher anschließend ein Tool namens Windows Downdate entwickelt, mit dem sich selbst kritische Betriebssystemkomponenten wie DLLs, Treiber und sogar der NT-Kernel wieder auf ältere Versionen herabstufen lassen.
"Dadurch war ich in der Lage, einen vollständig gepatchten Windows-Rechner für Tausende von Sicherheitslücken aus der Vergangenheit anfällig zu machen, behobene Sicherheitslücken in Zero-Days zu verwandeln und den Ausdruck 'vollständig gepatcht' für jeden Windows-Rechner auf der Welt bedeutungslos zu machen" , erklärt Leviev. Das Zielsystem melde nach erfolgreichem Downgrade weiterhin, es sei vollständig aktualisiert und es stünden keine neuen Updates zur Verfügung.
Auch Hyper-V und VBS sind anfällig
Dem Blogbeitrag zufolge ist auch der gesamte Virtualisierungsstack gefährdet. "Ich habe den Isolated User Mode Process von Credential Guard, den Secure Kernel und den Hypervisor von Hyper-V erfolgreich heruntergestuft, um frühere Rechteausweitungsschwachstellen zugänglich zu machen" , so Leviev.
Zudem sei es ihm möglich gewesen, VBS (Virtualization-based Security) einschließlich zugehöriger Funktionen wie Credential Guard und HVCI (Hypervisor-Protected Code Integrity) zu deaktivieren. Selbst mit UEFI-Sperren lasse sich das nicht verhindern. "Meines Wissens ist dies das erste Mal, dass die UEFI-Sperren von VBS ohne physischen Zugriff umgangen wurden" , erklärt der Forscher.
Noch kein Patch verfügbar
An Microsoft gemeldet hatte Leviev seine Entdeckungen nach eigenen Angaben schon im Februar. Rund ein halbes Jahr später scheint Microsoft die Probleme aber noch immer nicht beseitigt zu haben. Pünktlich zur Vorstellung des Angriffs auf der Black Hat(öffnet im neuen Fenster) tauchten auf der Webseite des Konzerns lediglich zwei neue CVE-IDs für von Leviev eingesetzte Rechteausweitungsschwachstellen auf: CVE-2024-38202(öffnet im neuen Fenster) und CVE-2024-21302(öffnet im neuen Fenster) .
In beiden Fällen erklärt Microsoft, man arbeite "derzeit an einem Sicherheitsupdate, um diese Bedrohung zu entschärfen, aber es ist noch nicht verfügbar" . Bis es so weit ist, wird auf eine Reihe von Maßnahmen verwiesen, mit denen sich das Risiko eines erfolgreichen Angriffs zumindest verringern lassen soll. Fälle einer aktiven Ausnutzung durch böswillige Akteure sind nach Angaben des Konzerns nicht bekannt. Dies könne sich jedoch angesichts der Präsentation auf der Black Hat ändern.
Hinsichtlich CVE-2024-38202 betont Microsoft, dass ein Angreifer für eine erfolgreiche Attacke "einen Administrator oder einen Benutzer mit delegierten Rechten austricksen oder davon überzeugen muss, eine Systemwiederherstellung durchzuführen, um unwissentlich die Schwachstelle auszulösen" . Für die Ausnutzung von CVE-2024-21302 sind laut Microsoft zwingend Adminrechte erforderlich.