{"id":298121,"date":"2024-08-08T01:40:10","date_gmt":"2024-08-07T23:40:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=298121"},"modified":"2024-08-08T14:44:57","modified_gmt":"2024-08-08T12:44:57","slug":"schwachstelle-in-windows-update-ermglicht-downgrade-angriffe-august-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/08\/schwachstelle-in-windows-update-ermglicht-downgrade-angriffe-august-2024\/","title":{"rendered":"Schwachstelle in Windows Update ermöglicht Downgrade-Angriffe (August 2024)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ein Sicherheitsforscher von SafeBreach hat sich die Update-Architektur von Microsoft Windows vorgenommen. Dabei ist er auf Schwachstellen in der Update-Funktion des Betriebssystem gesto\u00dfen (es sind im Grunde gravierende Design-Fehler), die einen Downgrade-Angriff erm\u00f6glicht. Ein Angreifer kann so bereits installierte Sicherheit-Updates zur\u00fcckrollen, und sogar die Installation weiterer Updates verhindern. so die vermeintlich gepatchte Schwachstellen weiter existieren. Diese Manipulation ist nicht erkennbar und wird nicht gemeldet. Microsoft ist seit Februar 2024 dar\u00fcber informiert, hat aber noch nichts im Hinblick auf ein Sicherheitsupdate unternommen. Erg\u00e4nzung:<\/strong> Wenn meine Ersteinsch\u00e4tzung zutrifft, ist das Ganze auch nicht mit einem kleinen Patch zu erledigen, sondern r\u00fcttelt an den Grundfesten der Betriebssystemarchitektur. Aktuell hat Microsoft nur zwei Security Advisories zur Mitigation von 0-days zeitnah ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

Was sind Downgrade-Angriffe?<\/h2>\n

\"\"Es handelt sich um eine clevere Angriffsmethode, die im Prinzip auf eine sehr unsch\u00f6ne Geschichte hinaus l\u00e4uft, die die Sicherheit von Windows gef\u00e4hrdet. Bei Downgrade-Angriffen wird die Software (also hier Windows) gezwungen, auf eine \u00e4ltere, und durch Schwachstellen anf\u00e4llige Version zur\u00fcckzukehren. Bei Windows w\u00e4re dies beispielsweise, dass Updates deinstalliert werden, und die Installation neuer Updates verhindert wird. Zudem k\u00f6nnte der Angriff so erfolgen, dass der Anwender dies nicht mal bemerkt, weil die Software meldet, auf dem neuesten Stand zu sein.<\/p>\n

MS hat BlackLotus Downgrade-Angriffe gesperrt<\/h2>\n

Mit der Sicherheit von Windows ist es nicht immer zum Besten bestellt. Im Jahr 2023 tauchte das ber\u00fcchtigte BlackLotus UEFI-Bootkit auf, das den Windows-Bootmanager auf eine \u00e4ltere Version herabstuft, um Secure Boot zu umgehen (siehe BlackLotus UEFI-Bootkit \u00fcberwindet Secure Boot in Windows 11<\/a>). Sicherheitsforscher von ESET hatte das Problem gefunden.<\/p>\n

Im Kontext des BlackLotos UEFI-Bootkits hat Microsoft reagiert. Einmal gibt es einen Patch zum Schlie\u00dfen der Schwachstelle. Und Windows ist mit einem Schutz vor ungewolltem Downgrade des Secure Boot nachger\u00fcstet worden.<\/p>\n

Downgrade-Angriffe \u00fcber Windows Update<\/h2>\n

Sicherheitsforscher Alon Leviev von den SafeBreach Labs hat sich, auf Grund des Black Lotus-Angriffs, den Update-Prozess von Microsoft Windows genauer angesehen. Er stellt sich die Frage, ob Downgrade-Angriffe, wie man sie bei BlackLotus gesehen hat, per Windows Update m\u00f6glich sind. Auf der Suche nach einem unentdeckbaren Downgrade-Fluss untersuchten die Sicherheitsforscher dann Windows Update genauer. Der Update-Mechanismus ist wohl die am wenigsten verd\u00e4chtige Einheit f\u00fcr die Ausf\u00fchrung von Downgrade-Angriffen.<\/p>\n

Dabei ist Leviev auf Schwachstellen gesto\u00dfen, die es ihm erm\u00f6glichen, installierte Sicherheitsupdates zu deinstallieren und so bereits geschlossene Schwachstellen aufzurei\u00dfen. Er hat also die Achillesferse von Windows Update identifizierte, die es erm\u00f6glicht, die vollst\u00e4ndige Kontrolle \u00fcber den Update-Vorgang zu \u00fcbernehmen.<\/p>\n

Dem Sicherheitsforscher ist es gelungen, Downgrade-Updates f\u00fcr Windows zu erstellen und dabei alle \u00dcberpr\u00fcfungsschritte w\u00e4hrend der Update-Installation zu umgehen. Dies beinhaltet auch die von Windows erzwungene Durchsetzung der Verwendung von Trusted Installer, schreibt Levie. So gelang es dem Sicherheitsforscher, das Betriebssystem in einen \u00e4lteren Patch-Versionsstand zur\u00fcck zu rollen.<\/p>\n

Mit den von dem Sicherheitsforschern entwickelten Techniken gelang es, kritische Betriebssystemkomponenten, einschlie\u00dflich DLLs, Treiber und sogar den NT-Kernel, bez\u00fcglich des Update-Status herunterzustufen. Anschlie\u00dfend meldete das Betriebssystem, dass es vollst\u00e4ndig aktualisiert wurde und nicht in der Lage war, k\u00fcnftige Updates zu installiere. Dabei konnten die Wiederherstellungs- und Scan-Tools keine Probleme erkennen.<\/p>\n

Die Forscher haben dann die Windows Interna weiter gesucht und festgestellt, dass auch der gesamte Virtualisierungs-Stack gef\u00e4hrdet ist. Es gelang den Hypervisor von Hyper-V, den Secure Kernel und den Isolated User Mode-Prozess von Credential Guard erfolgreich herunter zu stufen. Dies erm\u00f6glicht es, fr\u00fchere Schwachstellen bei der Privilegienerweiterung aufzudecken.<\/p>\n

Vorstellung auf der BlackHat 2024 in den USA<\/h2>\n

Sicherheitsforscher Alon Leviev von den SafeBreach Labs stellt dieses Problem auf der gerade stattfindenden BlackHat 2024-Konferenz vor. F\u00fcr den 7. August 2024 ist ein Beitrag Windows Downdate: Downgrade Attacks Using Windows Updates<\/a> zum Thema angek\u00fcndigt.<\/p>\n

\"Windows-Sicherheit\"<\/a><\/p>\n

Leviev hat zum 7. August 2024 in der oben verlinkten Session gezeigt, welche Schwachstellen diesbez\u00fcglich existieren. Wenn ich es richtig interpretiere, sind diese Schwachstellen f\u00fcr unprivilegierte Nutzer ausnutzbar [Nachtrag: Initial hatte Leviev aber wohl Administratorrechte].\u00a0 O-Ton des Sicherheitsforschers:<\/p>\n

Durch ein Downgrade war ich in der Lage, einen vollst\u00e4ndig gepatchten Windows-Rechner f\u00fcr Tausende von Sicherheitsl\u00fccken aus der Vergangenheit anf\u00e4llig zu machen, behobene Sicherheitsl\u00fccken in Zero-Days zu verwandeln und den Begriff \"vollst\u00e4ndig gepatcht\" auf jedem Windows-Rechner der Welt bedeutungslos zu machen.<\/p>\n

Leviev hat auch auf der defcon einen Beitrag geliefert, der \u00fcber diesen Link<\/a> abrufbar ist.<\/p><\/blockquote>\n

Kein Patch verf\u00fcgbar<\/h2>\n

Microsoft wei\u00df seit Februar 2024 um das Problem, da das Unternehmen von Leviev informiert wurde. Als der Sicherheitsforscher die Schwachstelle meldete, wurde er\u00a0 dar\u00fcber informiert, dass Microsoft noch nichts im Hinblick auf ein Sicherheitsupdate unternommen habe – das Ganze ist nach bisherigen Erkenntnisse bis zum heutigen Tag ungepatcht.<\/p>\n

Microsoft hat lediglich CVE-2024-21302<\/a> und\u00a0CVE-2024-38202<\/a> ver\u00f6ffentlicht \u2014 und folgendes Statement an Leviev geschickt:<\/p>\n

\n
\n
\"We appreciate the work of SafeBreach in identifying and responsibly reporting this vulnerability through a coordinated vulnerability disclosure.\u202fWe are actively developing mitigations to protect against these risks while following an extensive process involving a thorough investigation, update development across all affected versions, and compatibility testing, to ensure maximized customer protection with minimized operational disruption.\"<\/em><\/div>\n<\/blockquote>\n<\/div>\n

Mehr Details verf\u00fcgbar<\/h2>\n

Erg\u00e4nzungen:<\/strong> Der obige Beitrag ist die Nacht entstanden und wurde zwischenzeitlich in einzelnen Formulierungen nochmals \u00fcberarbeitet. The Register hat diesen Beitrag<\/a> (inzwischen hierhin verlagert<\/a>) zum Sachverhalt ver\u00f6ffentlicht, weil Sicherheitsforscher Leviev in einem Interview vorab einige Informationen geteilt hat.<\/p>\n

Bei The Register habe ich zwischenzeitlich auch den Link zum Artikel Windows Downdate: Downgrade Attacks Using Windows Updates<\/a> vom 7. August 2024 im Safebreach-Blog gefunden, wo weitere Details genannt werden. Nachfolgender Tweet<\/a> verlinkt mittlerweile auch (den gab es die Nacht noch nicht).<\/p>\n

\"Windows<\/a><\/p>\n

Der Beitrag ist sehr lesenswert, weil er Ross und Reiter benennt und ausf\u00fchrt, wie Angriffe \u00fcber den Windows Update-Mechanismus (Action-Lists, Pending.xml etc.) durchgef\u00fchrt werden k\u00f6nnen. Bei der Analyse des Sachverhalts ist der Sicherheitsforscher beispielsweise auf folgendes gesto\u00dfen:<\/p>\n