{"id":305563,"date":"2024-10-28T08:26:43","date_gmt":"2024-10-28T07:26:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305563"},"modified":"2024-10-29T08:19:27","modified_gmt":"2024-10-29T07:19:27","slug":"windows-driver-signature-bypass-ermoeglicht-rootkit-installation","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/28\/windows-driver-signature-bypass-ermoeglicht-rootkit-installation\/","title":{"rendered":"Windows: Driver Signature-Bypass erm\u00f6glicht Rootkit-Installation"},"content":{"rendered":"

\"Windows\"[English<\/a>]Altes Thema neu aufgelegt. Angreifer k\u00f6nnen Windows-Kernelkomponenten downgraden, und so die Absicherung des Betriebssystems durch Funktionen wie Driver Signature Enforcement umgehen. Dies erm\u00f6glicht Rootkits auf vollst\u00e4ndig gepatchten Systemen einzusetzen. SafeBreach-Sicherheitsforscher Alon Leviev hat das Problem an Microsoft gemeldet, die aber nichts tun wollen.<\/p>\n

<\/p>\n

Alter Downgrade-Angriff<\/h2>\n

\"\"Ich hatte im August 2024 im Beitrag\u00a0Schwachstelle in Windows Update erm\u00f6glicht Downgrade-Angriffe (August 2024)<\/a> bereits berichtet, dass SafeBreach-Sicherheitsforscher Alon Leviev auf eine Schwachstelle in Windows Update hingewiesen hatte.<\/p>\n

Durch die Ausnutzung einer Downgrade-M\u00f6glichkeiten entdeckte er die Schwachstelle CVE-2024-21302, die eine Ausweitung der Berechtigungen erm\u00f6glicht und den gesamten Windows-Virtualisierungs-Stack betrifft.\u00a0Dadurch war es ihm m\u00f6glich, per Downgrade-Angriff ein voll gepatchtes Windows anf\u00e4llig f\u00fcr Angriffe zu machen, ohne dass der Nutzer das feststellen kann.<\/p>\n

Neuer Downgrade-Angriff<\/h2>\n

Nun hat der Sicherheitsforscher zum 26. Oktober 2024 im Beitrag An Update on Windows Downdate<\/a> nachgelegt, wie ich nachfolgendem Tweet (Bleeping Computer haben zuerst berichtet<\/a>) entnehmen konnte.<\/p>\n

\"Driver<\/a><\/p>\n

Windows besitzt einen Schutzmechanismus (Driver Signature Enforcement), der verhindern soll, dass nicht signierte, unsichere Treiber installiert werden k\u00f6nnen.\u00a0In einer neuen Ver\u00f6ffentlichung<\/a> zeigt Leviev, wie ein Angreifer mit Administratorrechten auf einem Zielcomputer den Windows-Update-Prozess ausnutzen kann, um den Driver Signature Enforcement-Schutz (DSE) zu umgehen.<\/p>\n

Dazu stuft er eine auf einen voll gepatchten Windows 11 vorhandene Windows-Komponente so herab, dass der DSE-Schutz nicht mehr greift. Der Hintergrund ist brisant: W\u00e4hrend von Microsoft die oben erw\u00e4hnte Schwachstellen CVE-2024-21302 gepatcht wurde, blieb die M\u00f6glichkeit zur \u00dcbernahme von Windows Update durch Angreifer, die vom Sicherheitsforscher ebenfalls an Microsoft gemeldet wurde, ungepatcht. Angeblich w\u00fcrde keine definierte Sicherheitsgrenze \u00fcberschritten, hie\u00df es von Microsoft. Denn die Ausf\u00fchrung von Kernel-Code als Administrator gilt nicht als \u00dcberschreitung einer Sicherheitsgrenze (und nicht als Sicherheitsl\u00fccke).<\/p>\n

Von Microsoft wurden in Windows 11 zwar einige Verbesserungen vorgenommen, die darauf abzielen, die Kompromittierung des Kernels zu erschweren und die H\u00fcrde f\u00fcr Angreifer zu erh\u00f6hen. Eine der Sicherheitsverbesserungen des Kernels ist die Funktion Driver Signature Enforcement<\/em> (DSE).<\/p>\n

Die M\u00f6glichkeit, Komponenten im Kernel herabzustufen, macht die Sache f\u00fcr Angreifer jedoch leider sehr viel einfacher, schreibt der Sicherheitsforscher. Er konnte zeigen, wie die \"\u00dcbernahme von Windows Update\" die Umgehung der Funktion Driver Signature Enforcement<\/em> (DSE) erm\u00f6glicht.<\/p>\n

Diese Umgehung erm\u00f6glicht das Laden von unsignierten Kernel-Treibern. Dadurch k\u00f6nnen Angreifer benutzerdefinierte Rootkits einschleusen, die Sicherheitskontrollen ausschalten, Prozesse und Netzwerkaktivit\u00e4ten verbergen, die Tarnung aufrechterhalten und vieles mehr. Details lassen sich im Beitrag An Update on Windows Downdate<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Altes Thema neu aufgelegt. Angreifer k\u00f6nnen Windows-Kernelkomponenten downgraden, und so die Absicherung des Betriebssystems durch Funktionen wie Driver Signature Enforcement umgehen. Dies erm\u00f6glicht Rootkits auf vollst\u00e4ndig gepatchten Systemen einzusetzen. SafeBreach-Sicherheitsforscher Alon Leviev hat das Problem an Microsoft gemeldet, die aber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,8257],"class_list":["post-305563","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305563"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305563\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305563"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}