Einer der wichtigsten Ratschläge, wenn es um die Sicherheit elektronischer Geräte geht, ist sicherzustellen, dass diese auf dem neuesten Stand sind.
Ein Sicherheitsforscher hat einen neuen Angriff entdeckt, der Windows-Geräte dauerhaft herabstuft. Informationen zum Angriff finden Sie auf derSafeBreachWebseite.
Microsoft veröffentlicht monatliche Sicherheitsupdates für Windows. Möglicherweise werden auch Sicherheitsupdates außerhalb des zulässigen Umfangs veröffentlicht. Diese werden veröffentlicht, wenn neue Schwachstellen aktiv ausgenutzt werden.
Gut zu wissen: Unter Downgrade versteht man die Deinstallation bestimmter Updates von einem Gerät. Dies kann sich auf die Deinstallation neuerer Funktionsupdates beziehen, aber auch auf die Deinstallation einer neueren Windows-Version.
Während es manchmal notwendig ist, einen PC herunterzustufen, beispielsweise wenn eine neue Version Probleme verursacht, die zu diesem Zeitpunkt nicht behoben werden können, kann der Vorgang auch dazu verwendet werden, bestimmte Sicherheitsupdates oder Schutzmaßnahmen vom Betriebssystem zu entfernen.
Der Sicherheitsforscher Alon Leviev hat das Tool Windows Downdate entwickelt, um zu zeigen, dass Downgrade-Angriffe auch auf vollständig gepatchte Windows-Versionen möglich sind.
Er beschreibt das Tool folgendermaßen: „ein Tool, das den Windows Update-Prozess übernimmt, um vollständig nicht erkennbare, unsichtbare, dauerhafte und irreversible Downgrades kritischer Betriebssystemkomponenten durchzuführen – was es mir ermöglichte, Berechtigungen zu erhöhen und Sicherheitsfunktionen zu umgehen.“
Mit Hilfe des Tools war Leviev in der Lage, vollständig gepatchte und gesicherte Windows-Geräte in veraltete Windows-Geräte umzuwandeln, die „anfällig für Tausende früherer Schwachstellen“ waren.
Leviev stellte das Forschungsprojekt auf der Black Hat USA 2024 und der Def Con 32 vor. Es gelang ihm, bei Demonstrationen ein vollständig gepatchtes Windows-System erfolgreich herunterzustufen, und er bereitete die Systeme auf besondere Weise vor, sodass Windows Update keine neuen Updates finden würde.
Erschwerend kommt hinzu, dass der Downgrade-Angriff sowohl für Endpoint-Detection-and-Response-Lösungen nicht erkennbar ist als auch für die Komponenten des Betriebssystems unsichtbar ist. Mit anderen Worten: Das Betriebssystem erscheint auf dem neuesten Stand, obwohl dies in Wirklichkeit nicht der Fall ist.
Mehr Lektüre:Verweise auf „homeOS“ in der Betaversion von tvOS 17.4 entdeckt
Die Herabstufung ist zudem dauerhaft und irreversibel. Letzteres bedeutet, dass Scan- und Reparaturtools Probleme nicht erkennen oder das Downgrade reparieren können.
Technische Details finden Sie im Blogbeitrag auf der SafeBreach-Website.
Die Antwort von Microsoft
Microsoft wurde vorab über die Schwachstelle informiert. Die Probleme werden hier verfolgt:
- CVE-2024-21302– Sicherheitslücke im sicheren Windows-Kernelmodus bezüglich der Erhöhung von Berechtigungen
- CVE-2024-38202– Schwachstelle bezüglich der Erhöhung von Berechtigungen im Windows Update-Stack
Der maximale Schweregrad beider Probleme wurde von Microsoft auf „wichtig“ festgelegt.
Microsoft hat Microsoft Defender for Endpoint bereits um eine Erkennung erweitert. Dies soll Kunden vor Exploit-Versuchen warnen.
Darüber hinaus empfiehlt das Unternehmen mehrere Maßnahmen. Sie „mindern zwar nicht die Verwundbarkeit“, verringern aber „das Risiko einer Ausnutzung“.
Kurzgesagt:
- Konfigurieren Sie die Einstellungen für „Objektzugriff prüfen“, um Zugriffsversuche auf Dateien zu überwachen, z. B. Handle-Erstellung, Lese-/Schreibvorgänge oder Änderungen an Sicherheitsbeschreibungen.
- Die Prüfung sensibler Berechtigungen zur Identifizierung des Zugriffs, der Änderung oder des Austauschs von VBS-bezogenen Dateien könnte dabei helfen, Versuche aufzudecken, diese Sicherheitslücke auszunutzen.
- Schützen Sie Ihren Azure-Mandanten, indem Sie Administratoren und Benutzer untersuchen, die für riskante Anmeldungen gekennzeichnet sind, und ihre Anmeldeinformationen wechseln.
- Die Aktivierung der Multi-Faktor-Authentifizierung kann auch dazu beitragen, Bedenken hinsichtlich kompromittierter Konten oder Gefährdung auszuräumen.
Schlussworte
Für den Angriff sind Administratorrechte erforderlich. Eine gute Vorsichtsmaßnahme ist die Verwendung eines regulären Benutzerkontos für alltägliche Aktivitäten auf Windows-PCs. Microsoft wird in Zukunft einen Fix für das Problem veröffentlichen.
Was halten Sie davon? Hinterlassen Sie unten gerne einen Kommentar.