Alle Softwareanwendungen, einschließlich der Betriebssysteme, enthalten Schwachstellen, daher sind regelmäßige Patch-Updates ein Eckpfeiler der Cybersicherheit. Die Forscher, die den Windows-Downdate-Angriff entwickelt haben, haben es auf genau diesen Update-Mechanismus abgesehen und ihr Ziel war, ein vollständig aktualisiertes Windows-System heimlich auf eine ältere Version zurückzusetzen, die anfällige Dateien und Dienste enthält. Dadurch ist das System – einschließlich des Hypervisors und des sicheren Kernels – bekannten Exploits und Gefährdungen tief im System ausgesetzt. Schlimmer noch, Standard-Updates und Systemintegrationsprüfungen melden, dass alles auf dem neuesten Stand und in Ordnung ist.
Angriffsmechanismus
Tatsächlich fanden die Forscher zwei separate Fehler mit leicht unterschiedlichen Wirkungsmechanismen. Eine Schwachstelle – der die ID CVE-2024-21302 zugewiesen wurde und die als Downdate bezeichnet wird – basiert auf einem Fehler bei der Installation des Updates: Die heruntergeladenen Update-Komponenten werden kontrolliert, vor Änderungen geschützt und digital signiert, aber während eines Zwischenstadiums der Installation (zwischen den Neustarts) erstellt und verwendet die Update-Prozedur eine Datei mit einer Liste der geplanten Aktionen (pending.xml). Wenn Angreifer in der Lage sind, eine eigene Version dieser Datei zu erstellen und Informationen darüber zur Registrierung hinzuzufügen, führt der Windows Modules Installer-Dienst (TrustedInstaller) die darin enthaltenen Anweisungen beim Neustart aus.
Tatsächlich wird der Inhalt der pending.xml überprüft, aber das geschieht während der vorherigen Installationsphasen — TrustedInstaller überprüft sie nicht erneut. Natürlich ist es unmöglich, auf diese Weise beliebige Dateien in die Datei zu schreiben und beliebige Dateien zu installieren – da diese von Microsoft signiert sein müssen, aber es ist durchaus möglich, Systemdateien durch ältere von Microsoft entwickelte Dateien zu ersetzen. Dadurch kann das System seit langem gepatchten Schwachstellen erneut ausgesetzt sein – einschließlich kritischer Schwachstellen. Um der Registrierung die erforderlichen Schlüssel für die pending.xml hinzuzufügen, sind Administratorrechte erforderlich und anschließend muss ein Systemneustart ausgeführt werden. Dies sind jedoch die einzigen wesentlichen Einschränkungen. Für diesen Angriff sind keine erhöhten Berechtigungen erforderlich (wobei Windows die Anzeige verdunkelt und den Administrator um zusätzliche Berechtigungen bittet) und die meisten Sicherheitstools kennzeichnen die während des Angriffs ausgeführten Aktionen nicht als verdächtig.
Die zweite Schwachstelle – CVE-2024-38202 – ermöglicht es einem Akteur, den Ordner Windows.old zu manipulieren, in dem das Update-System die vorherige Windows-Installation speichert. Obwohl für die Änderung von Dateien in diesem Ordner spezielle Berechtigungen erforderlich sind, kann ein Angreifer mit normalen Benutzerrechten den Ordner umbenennen, eine neue Windows.old-Datei erstellen und veraltete, anfällige Versionen von Windows-Systemdateien darin ablegen. Bei einer Systemwiederherstellung wird Windows dann auf die anfällige Installation zurückgesetzt. Für die Systemwiederherstellung sind bestimmte Berechtigungen erforderlich, allerdings keine Administratorrechte und die Rechte werden manchmal auch normalen Benutzern gewährt.
VBS-Bypass und Passwortdiebstahl
Seit 2015 wurde die Windows-Architektur überarbeitet, um eine Gefährdung des Windows-Kernels zu verhindern, die zu einer Gefährdung des gesamten Systems führt. Dabei handelt es sich um eine Reihe von Maßnahmen, die zusammenfassend als virtualisierungsbasierte Sicherheit (VBS) bezeichnet werden. Der System-Hypervisor wird unter anderem verwendet, um Betriebssystemkomponenten zu isolieren und einen sicheren Kernel für die Ausführung der sensibelsten Operationen, die Speicherung von Passwörtern usw. zu erstellen.
Um zu verhindern, dass Angreifer VBS deaktivieren, kann Windows so konfiguriert werden, dass dies nicht möglich ist – selbst mit Administratorrechten. Du kannst diesen Schutz nur deaktivieren, indem du den Computer in einem speziellen Modus neu startest und einen Tastaturbefehl eingibst. Diese Funktion wird als Unified Extensible Firmware Interface (UEFI)-Sperre bezeichnet. Ein Windows-Downdate-Angriff umgeht auch diese Einschränkung, indem Dateien durch modifizierte, veraltete und anfällige Versionen ersetzt werden. VBS überprüft Systemdateien nicht auf Aktualität, daher können sie ohne erkennbare Anzeichen oder Fehlermeldungen durch ältere, anfällige Versionen ersetzt werden. Das heißt, dass VBS technisch gesehen nicht deaktiviert ist, aber die Funktion führt ihre Sicherheitsfunktion nicht mehr aus.
Bei diesem Angriff können Secure-Kernel- und Hypervisor-Dateien durch zwei Jahre alte Versionen ersetzt werden, die mehrere Schwachstellen enthalten, deren Ausnutzung zur Rechteausweitung führt. Auf diese Weise können Angreifer maximale Systemberechtigungen, vollen Zugriff auf den Hypervisor und die Prozesse zum Schutz des Speichers erlangen und auf einfache Weise Anmeldeinformationen, gehashte Passwörter und auch NTLM-Hashes aus dem Speicher lesen (was zur Ausweitung des Netzwerkangriffs verwendet werden kann) .
Schutz vor Downdate
Microsoft wurde im Februar 2024 über die Downdate-Schwachstellen informiert, Details wurden jedoch erst im August im Rahmen des monatlichen Patch Tuesday-Rollouts veröffentlicht. Die Behebung der Fehler erwies sich als schwierige Aufgabe, die mit Nebenwirkungen verbunden war – einschließlich des Absturzes einiger Windows-Systeme. Anstatt also überstürzt einen weiteren Patch zu veröffentlichen, hat Microsoft vorerst lediglich einige Tipps zur Risikominimierung herausgegeben. Dazu gehören:
- Überprüfung von Benutzern, die zur Durchführung von Systemwiederherstellungs- und Updatevorgängen berechtigt sind, Minimierung der Anzahl solcher Benutzer und Widerruf von Berechtigungen, sofern möglich.
- Implementieren von Zugriffskontrolllisten (ACL / DACL), um den Zugriff auf Update-Dateien und deren Änderung einzuschränken.
- Konfigurieren der Ereignisüberwachung für Instanzen, in denen erhöhte Berechtigungen zum Ändern oder Ersetzen von Update-Dateien verwendet werden – dies kann ein Hinweis auf die Ausnutzung einer Schwachstelle sein.
- Ebenso die Überwachung der Änderung und Ersetzung von Dateien, die mit dem VBS-Subsystem verbunden sind, und von Systemdatei-Backups.
Diese Ereignisse mithilfe von SIEM und EDR zu überwachen, ist relativ einfach. Es ist jedoch mit falsch positiven Ergebnissen zu rechnen, sodass die Unterscheidung zwischen legitimen Aktivitäten des Systemadministrators und denen von Hackern letztendlich Sache des Sicherheitsteams ist.
All dies gilt nicht nur für physische, sondern auch für virtuelle Windows-Computer in Cloud-Umgebungen. Für virtuelle Computer in Azure wird außerdem empfohlen, ungewöhnliche Anmeldeversuche mit Administratoranmeldedaten zu verfolgen. Aktiviere MFA und ändere die Anmeldeinformationen für den Fall, dass ein solcher Versuch erkannt wird.
Ein weiterer, drastischerer Tipp: Entziehe Mitarbeitern, die sie nicht benötigen, Administratorrechte, und lege fest, dass echte Administratoren (i) nur administrative Aktionen unter ihrem jeweiligen Konto ausführen und (ii) ein separates Konto für andere Aufgaben verwenden.
Riskante Korrekturen
Für diejenigen, die mehr Sicherheit suchen, bietet Microsoft das Update KB5042562 an, das die Schwere von CVE-2024-21302 eindämmt. Nach der Installation werden veraltete Versionen der VBS-Systemdateien zur Sperrliste hinzugefügt und können auf einem aktualisierten Computer nicht mehr ausgeführt werden. Diese Richtlinie (SkuSiPolicy.p7b) wird auf UEFI-Ebene angewendet. Wenn du sie also verwendest, musst du nicht nur das Betriebssystem aktualisieren, sondern auch ein Backup der Boot-Wechseldatenträger erstellen. Beachte auch, dass ein Rollback auf ältere Windows-Installationen nicht mehr möglich ist. Darüber hinaus wird durch das Update zwangsweise die Funktion User Mode Code Integrity (UMCI) aktiviert, die selbst zu Kompatibilitäts- und Leistungsproblemen führen kann.
Im Allgemeinen wird Administratoren empfohlen, die Risiken sorgfältig abzuwägen und das Verfahren und seine möglichen Nebenwirkungen gründlich zu studieren. Microsoft verspricht, in Zukunft Patches und zusätzliche Sicherheitsmaßnahmen für alle relevanten Windows-Versionen zu veröffentlichen – bis hin zu Windows 10, Version 1507, und Windows Server 2016.