Windows: Driver Signature-Bypass ermöglicht Rootkit-Installation

Windows[English]Altes Thema neu aufgelegt. Angreifer können Windows-Kernelkomponenten downgraden, und so die Absicherung des Betriebssystems durch Funktionen wie Driver Signature Enforcement umgehen. Dies ermöglicht Rootkits auf vollständig gepatchten Systemen einzusetzen. SafeBreach-Sicherheitsforscher Alon Leviev hat das Problem an Microsoft gemeldet, die aber nichts tun wollen.


Anzeige

Alter Downgrade-Angriff

Ich hatte im August 2024 im Beitrag Schwachstelle in Windows Update ermöglicht Downgrade-Angriffe (August 2024) bereits berichtet, dass SafeBreach-Sicherheitsforscher Alon Leviev auf eine Schwachstelle in Windows Update hingewiesen hatte.

Durch die Ausnutzung einer Downgrade-Möglichkeiten entdeckte er die Schwachstelle CVE-2024-21302, die eine Ausweitung der Berechtigungen ermöglicht und den gesamten Windows-Virtualisierungs-Stack betrifft. Dadurch war es ihm möglich, per Downgrade-Angriff ein voll gepatchtes Windows anfällig für Angriffe zu machen, ohne dass der Nutzer das feststellen kann.

Neuer Downgrade-Angriff

Nun hat der Sicherheitsforscher zum 26. Oktober 2024 im Beitrag An Update on Windows Downdate nachgelegt, wie ich nachfolgendem Tweet (Bleeping Computer haben zuerst berichtet) entnehmen konnte.

Driver Signatur-Bypass ermöglicht Rootkit-Installation in Windows


Anzeige

Windows besitzt einen Schutzmechanismus (Driver Signature Enforcement), der verhindern soll, dass nicht signierte, unsichere Treiber installiert werden können. In einer neuen Veröffentlichung zeigt Leviev, wie ein Angreifer mit Administratorrechten auf einem Zielcomputer den Windows-Update-Prozess ausnutzen kann, um den Driver Signature Enforcement-Schutz (DSE) zu umgehen.

Dazu stuft er eine auf einen voll gepatchten Windows 11 vorhandene Windows-Komponente so herab, dass der DSE-Schutz nicht mehr greift. Der Hintergrund ist brisant: Während von Microsoft die oben erwähnte Schwachstellen CVE-2024-21302 gepatcht wurde, blieb die Möglichkeit zur Übernahme von Windows Update durch Angreifer, die vom Sicherheitsforscher ebenfalls an Microsoft gemeldet wurde, ungepatcht. Angeblich würde keine definierte Sicherheitsgrenze überschritten, hieß es von Microsoft. Denn die Ausführung von Kernel-Code als Administrator gilt nicht als Überschreitung einer Sicherheitsgrenze (und nicht als Sicherheitslücke).

Von Microsoft wurden in Windows 11 zwar einige Verbesserungen vorgenommen, die darauf abzielen, die Kompromittierung des Kernels zu erschweren und die Hürde für Angreifer zu erhöhen. Eine der Sicherheitsverbesserungen des Kernels ist die Funktion Driver Signature Enforcement (DSE).

Die Möglichkeit, Komponenten im Kernel herabzustufen, macht die Sache für Angreifer jedoch leider sehr viel einfacher, schreibt der Sicherheitsforscher. Er konnte zeigen, wie die "Übernahme von Windows Update" die Umgehung der Funktion Driver Signature Enforcement (DSE) ermöglicht.

Diese Umgehung ermöglicht das Laden von unsignierten Kernel-Treibern. Dadurch können Angreifer benutzerdefinierte Rootkits einschleusen, die Sicherheitskontrollen ausschalten, Prozesse und Netzwerkaktivitäten verbergen, die Tarnung aufrechterhalten und vieles mehr. Details lassen sich im Beitrag An Update on Windows Downdate nachlesen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Windows: Driver Signature-Bypass ermöglicht Rootkit-Installation

  1. Anonymous sagt:

    Bug oder Feature…

  2. mw sagt:

    Kann manchmal auch nützlich sein, besonders für Developer. Die Einschränkung von admin Rechten halte ich für eine schlechte Idee.

    • R.S. sagt:

      Ein Admin hat nie volle Rechte!
      Es gibt noch 2 höher priviligierte Benutzer auf Windows-Systemen:
      SYSTEM und Trusted Installer.

      Es gibt Tools, mit denen man temporär entsprechende Rechte bekommen kann.
      Daher ist es kein Problem, das Adminrechte eingeschränkt sind.

    • DavidXanatos sagt:

      Es ist aber auch für Angreifer nützlich,
      jedem der selbst signierte Treiber ausführen will ohne dabei auf Secure Boot zu verzichten kann ich nur die Nutzung von einer eigenen mit secure boot abgesicherten CI polity ans Herz legen: https://github.com/valinet/ssde
      Das ist ein offizielles windows feature welches für die CN Regierung eingeführt wurde, und lässt sich sehr einfach via Hack in jeder anderen windows edition freischalten, siehe Github.
      Die größere Hürde ist es die eigenen Keys ins UEFI zu bekommen, weil nicht jedes Mainboard macht das einfach oder ermöglicht es gar.

      Was man auch machen kann ist das windows im Test signing mode zu betreiben dann werden alle Treiber egal von wem signiert akzeptiert, dies kann man dann mit einer CI polity wieder nur auf das eigene Zertifikat einschränken, dafür ist der CN Regierungs hack auch nicht mehr erforderlich.
      Der hacken ist hier aber das man kein Secure Boot mehr hat, da man mit aktivem SB kein test signing aktivieren kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.