Mutter aller Windows-Bugs? - Downgrade-Angriff entfernt Patches

Sicherheitsforscher haben Schwachstellen im Windows Update-System entdeckt, über die sich Downgrade-Angriffe durchführen lassen. Hier können also Patches entfernt werden, um dann eine eigentlich bereits geschlossene Sicherheitslücke wieder ausnutzen zu können.

Als hätte es keine Patches gegeben

Details über die Schwachstelle präsentierte der Sicherheitsforscher Alon Leviev, der das Problem gemeinsam mit seinen Kollegen von SafeBreach Labs analysierte, auf der Hackerkonferenz Black Hat. Er zeigte, wie er den Windows-Update-Prozess übernehmen konnte, um benutzerdefinierte Downgrades für kritische Betriebssystemkomponenten zu erstellen, Berechtigungen zu erhöhen und Sicherheitsfunktionen zu umgehen.

"Ich konnte einen vollständig gepatchten Windows-Rechner anfällig für Tausende von früheren Schwachstellen machen", erklärte der Sicherheitsexperte. Auf diese Weise konnte das System dann so angegriffen werden, als wären durch den Nutzer nie Patches eingespielt worden. Das Betriebssystem meldet dem Anwender aber trotzdem noch, dass es vollständig gepatcht ist, wodurch der Downgrade-Angriff nahezu unsichtbar bleibt.


Auf die Spur des Problems kam der Sicherheitsforscher, nachdem Details zum BlackLotus-UEFI-Bootkit klarer wurden. Auch diese Malware beinhaltete bereits eine Software-Downgrade-Komponente. Leviev machte sich daher daran, die Windows-Update-Architektur einer genaueren Untersuchung zu unterziehen und stieß dabei auf gravierende Schwächen.

Microsoft tut sich schwer

SafeBreach Labs hat seine Erkenntnisse im Februar dieses Jahres an Microsoft gemeldet und gemeinsam mit dem Unternehmen in den letzten sechs Monaten daran gearbeitet habe, das Problem zu entschärfen. Ein Microsoft-Sprecher teilte gegenüber SecurityWeek mit, dass man ein Sicherheitsupdate entwickelt, das veraltete, ungepatchte VBS-Systemdateien sperrt, um die Bedrohung zu entschärfen. Aufgrund der Komplexität, eine so große Menge an Dateien zu blockieren, seien strenge Tests erforderlich, um Integrationsfehler oder Regressionen zu vermeiden. Daher sei es bislang nicht zu einem Release gekommen.

Microsoft gab an, dass derzeit keine Versuche bekannt sind, diese Schwachstelle in freier Wildbahn auszunutzen. Das Unternehmen empfahl die Umsetzung der Empfehlungen, die in zwei jetzt veröffentlichten Sicherheitshinweisen - CVE-2024-38202 und CVE-2024-21302 - enthalten sind. Diese richten sich allerdings eher an Fachleute in IT-Abteilungen. Normalen Nutzern bleibt wenig anderes übrig, als auf einen Patch aus Redmond zu warten und zu hoffen, dass bis dahin nichts passiert.


Siehe auch: