Dieser Windows Update-Exploit ist geradezu erschreckend
Windows Update kann gelegentlich mit fehlerhaften Patches nach hinten losgehen , aber in den meisten Fällen dient es dazu, uns vor den neuesten Bedrohungen zu schützen. Microsoft veröffentlicht regelmäßig neue Patches, die potenzielle Schwachstellen beheben. Aber was wäre, wenn es ein Tool gäbe, das jedes Windows-Update rückgängig machen und Ihren PC allen Bedrohungen aussetzen könnte, von denen Microsoft glaubte, sie seien bereits behoben? Schlechte Nachrichten: Ein solches Tool gibt es mittlerweile und es heißt Windows Downdate.
Machen Sie sich aber keine Sorgen. Sie sind vor einem Windows-Downdate sicher – zumindest vorerst. Das Tool wurde als Proof-of-Concept vom SafeBreach-Forscher Alon Leviev entwickelt, und obwohl sein Potenzial geradezu erschreckend ist, wurde es in gutem Glauben als Beispiel für etwas namens „White-Hat-Hacking“ erstellt, das Forscher versuchen Finden Sie Schwachstellen, bevor böswillige Bedrohungsakteure dies tun können.
Im Falle eines Windows-Downdates könnten die Auswirkungen verheerend sein, wenn es in die falschen Hände gerät. Der Exploit basiert auf einem Fehler in Windows Update, um ältere Updates zu installieren, bei denen bestimmte Schwachstellen noch nicht behoben wurden. Leviev nutzte das Tool, um Dynamic Link Libraries (DLL), Treiber und sogar den NT-Kernel, der eine Kernkomponente von Windows darstellt, herunterzustufen. Dies wird unter Umgehung jeglicher Überprüfung erreicht und das Ergebnis ist völlig unsichtbar und irreversibel.
„Ich konnte einen vollständig gepatchten Windows-Rechner für Tausende früherer Schwachstellen anfällig machen, behobene Schwachstellen in Zero-Day-Schwachstellen verwandeln und den Begriff ‚vollständig gepatcht‘ auf jedem Windows-Rechner der Welt bedeutungslos machen“, sagte Leviev in einem SafeBreach- Beitrag. „Nach diesen Downgrades meldete das Betriebssystem, dass es vollständig aktualisiert sei und keine zukünftigen Updates installieren könne, während Wiederherstellungs- und Scan-Tools keine Probleme erkennen könnten.“
Leviev entdeckte außerdem, dass der gesamte Virtualisierungsstapel in Windows ebenfalls anfällig für diesen Exploit war; Dem Forscher gelang es, den isolierten Benutzermodusprozess von Credential Guard, den Hypervisor von Hyper-V und den sicheren Kernel herunterzustufen. Leviev fand sogar „mehrere Möglichkeiten“, die virtualisierungsbasierte Sicherheit (VBS) in Windows zu deaktivieren, und dies war auch dann noch möglich, wenn UEFI-Sperren erzwungen wurden.
„Meines Wissens ist dies das erste Mal, dass die UEFI-Sperren von VBS ohne physischen Zugriff umgangen wurden“, sagte Leviev.
Windows Downdate kann im Wesentlichen jeden jemals erstellten Sicherheitspatch rückgängig machen und den PC dann dazu verleiten, zu denken, dass alles in Ordnung sei, während es ihn heimlich Hunderten verschiedener Bedrohungen aussetzt. Ein Tool wie dieses könnte auf jedem Betriebssystem ernsthaften Schaden anrichten, und Leviev vermutet, dass auch andere Betriebssysteme wie MacOS und Linux gefährdet sein könnten.
Die gute Nachricht ist, dass Leviev beabsichtigte, Windows-Benutzer vor einem Tool wie diesem zu schützen, und der Forscher meldete seine Ergebnisse im Februar 2024 an Microsoft. Microsoft gab als Antwort zwei CVEs heraus ( CVE-2024-21302 und CVE-2024-38202 ) und scheint hart daran zu arbeiten, diese Schwachstelle zu beheben. Hoffen wir, dass Microsoft diesen Exploit schneller patcht, als unethische Hacker ihn zu ihrem eigenen Vorteil nutzen.