Es gibt eine beängstigende neue Möglichkeit, Windows-Sicherheitspatches rückgängig zu machen

August 28, 2024 Eskere Guru

Person sitzt und benutzt einen HP-Computer mit Windows 11. — Microsoft

Sicherheitspatches für Windows sind unerlässlich, um Ihren PC vor der Entwicklung neuer Bedrohungen zu schützen. Aber Downgrade-Angriffe sind eine Möglichkeit, die Patches von Microsoft zu umgehen, und ein Sicherheitsforscher wollte zeigen, wie fatal diese sein können.

Der Sicherheitsforscher von SafeBreach, Alon Leviev, erwähnte in einem Blogbeitrag des Unternehmens, dass sie als Proof-of-Concept ein sogenanntes Windows Downdate-Tool entwickelt hätten. Das Tool erstellt dauerhafte und irreversible Downgrades auf Windows Server-Systemen und Windows 10- und 11-Komponenten.

Leviev erklärt, dass sein Tool (und ähnliche Bedrohungen) einen Versions-Rollback-Angriff ausführt, „der dazu dient, eine immunisierte, vollständig aktuelle Software auf eine ältere Version zurückzusetzen.“ Sie ermöglichen es böswilligen Akteuren, zuvor behobene/gepatchte Schwachstellen aufzudecken und auszunutzen, um Systeme zu gefährden und sich unbefugten Zugriff zu verschaffen.“

Er erwähnt auch, dass Sie das Tool verwenden können, um den PC älteren Schwachstellen auszusetzen, die in Treibern, DLLs, Secure Kernel, NT Kernel, dem Hypervisor und mehr auftreten. Leviev postete auf PPLFault sowie Beispiele für das Downgrade des Hypervisors, des Kernels und die Umgehung der UEFI-Sperren von VBS.“

Falls Sie es noch nicht ausprobiert haben: Das Windows Downdate-Tool ist live! Sie können damit Windows-Updates übernehmen, um frühere Schwachstellen in DLLs, Treibern, dem NT-Kernel, dem Secure Kernel, dem Hypervisor, IUM-Trustlets und mehr herunterzustufen und aufzudecken! https://t.co/59DRIvq6PZ
– Alon Leviev (@_0xDeku) 25. August 2024

Besorgniserregend ist auch, dass das Tool nicht erkannt werden kann, da es nicht durch EDR-Lösungen (Endpoint Detection and Response) blockiert werden kann und Ihr Windows-Computer Ihnen weiterhin mitteilt, dass es auf dem neuesten Stand ist, obwohl dies nicht der Fall ist. Er entdeckte außerdem verschiedene Möglichkeiten, die auf Windows-Virtualisierung basierende Sicherheit (VBS) zu deaktivieren , darunter Hypervisor-Protected Code Integrity (HVCI) und Credential Guard.

Microsoft hat am 7. August ein Sicherheitsupdate (KB5041773) veröffentlicht, um den Fehler CVE-2024-21302 bei der Rechteausweitung im sicheren Windows-Kernelmodus zu beheben, sowie einen Patch für CVE-2024-38202 . Microsoft hat außerdem einige Tipps veröffentlicht, die Windows-Benutzer beachten können, um auf Nummer sicher zu gehen, z. B. die Konfiguration der Einstellungen „Objektzugriff prüfen“, um nach Dateizugriffsversuchen zu suchen. Die Veröffentlichung dieses neuen Tools zeigt, wie anfällig PCs für alle Arten von Angriffen sind und dass Sie beim Thema Cybersicherheit niemals auf der Hut sein sollten.

Die gute Nachricht ist, dass wir vorerst beruhigt sein können, da das Tool als Proof-of-Concept entwickelt wurde, ein Beispiel für „White-Hat-Hacking“, um Schwachstellen zu entdecken, bevor es Bedrohungsakteure tun. Außerdem übergab Leviev seine Erkenntnisse im Februar 2024 an Microsoft, und der Softwareriese wird hoffentlich bald über die notwendigen Korrekturen verfügen.