Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Noch kein Patch: Sicherheitsforscher beraubt Windows sämtlicher Schutzfunktionen

Ein Sicherheitsforscher von SafeBreach hat das Tool "Windows Downdate" entwickelt, mit dem er die Windows-Update-Funktion unter Windows 10, 11 und den Server-Varianten dazu missbrauchen kann, beliebige alte und damit verwundbare Vorgängerversionen sämtlicher Windows-Komponenten zu installieren. Doch so eine Attacke ist nicht ohne Weiteres möglich.

Anzeige

Der Forscher demonstrierte im Rahmen der Hacker-Konferenzen Black Hat und Def Con 32, wie Angreifer etwa besonders sensible Systembestandteile wie den Windows-Kernel oder den Hypervisor downgraden können. Weiterführende Details zu seiner Attacke beschreibt er in einem Blogbeitrag.

Er gibt an, die Schwachstelle im Februar an Microsoft gemeldet zu haben. Derzeit gibt es noch keine Sicherheitsupdates, die die Schwachstelle komplett schließen. Im Zuge des aktuellen Patchdays hat Microsoft immerhin zwei Sicherheitshinweise veröffentlicht (CVE-2024-38202 und CVE-2024-21302), mit denen sich das Risiko senken lassen soll.

Der Sicherheitsforscher Alon Leviev konnte manipulierend in den Windows-Update-Prozess eingreifen, um essenzielle Systemkomponenten durch verwundbare Versionen zu ersetzen.

(Bild: SafeBreach)

In die Karten spielt Microsoft hierbei, dass zum Ausführen der Attacke entweder lokale Administratorrechte nötig sind oder der Angreifer einen lokalen User dazu bekommen muss, eine Systemwiederherstellung auszulösen.

Anzeige

Ziel seiner Forschung sei es gewesen, Windows auf eine Art anzugreifen, die weder von EDR-Lösungen gemeldet, noch von Systemüberwachungs-Tools rückgängig gemacht werden kann.

Beim Untersuchen von Windows Update stieß der Forscher eigenen Angaben zufolge auf den Windows-Registry-Eintrag, der die zuständige Windows-Komponente (poqexec.exe) dazu veranlasst, das „Action File“ (pending.xml, vor einem Neustart zu finden in %windir%\WinSxS) mit Instruktionen für etwaige Updates abzuarbeiten. Normalerweise schiebt der Windows-Update-Server das Action File auf den Client, wo es beim nächsten Neustart verarbeitet wird.

Dieser Registry-Key lasse sich aber frei editieren, sodass der Trusted-Installer-Dienst (Windows Modules Installer) auch ohne Kommando vom Update-Server die vom Sicherheitsforscher in der Registry hinterlegten Anweisungen ausführt und ein manipuliertes Action File verarbeitet. In seinem Beispiel weist er den Updater per „HardlinkFile“-Befehl in der xml-Datei an, die von ihm gewählte veraltete Windows-Komponente über die Vorhandene zu kopieren.

Spannend wird dieses Vorgehen im Zusammenhang mit Virtualiziation Based Security (VBS), einer besonders geschützten virtuellen Umgebung. Microsoft hat VBS unter anderem erdacht, um auf bereits kompromittierten Windows-Systemen Geheimnisse weiterhin schützen zu können. Der Deaktivierung von VBS durch Nutzer mit Admin-Rechten hat Microsoft mit der Schutzfunktion UEFI Lock einen Riegel vorgeschoben: Anstatt die VBS-Konfiguration in der Registry abzulegen, packt UEFI Lock die Informationen in eine nur während des Bootvorgangs erreichbare UEFI-Variable.

Der Forscher war erstaunt zu sehen, dass ein per Windows Downdate auf den Rechner geschobener, jedoch nicht von Microsoft digital signierter VBS-Secure-Kernel nicht zum Abbruch des Bootvorgangs führte. Stattdessen startete der PC ganz normal, Windows deaktivierte jedoch aufgrund der fehlenden Signatur VBS und damit die Credential-Guard-Funktion.

Lesen Sie auch

image

Most Epic Fail: Crowdstrike-Präsident nimmt Pwnie Award persönlich entgegen

heise Security

Ein Smartphone mit geöffneter Messaging-App in einer menschlichen Hand, auf dem Bildschirm ist verschwommen ein Chat zu sehen.

Diablo-1-Weltrekord auf dem Prüfstand

image

Hackerkollektiv cDc kündigt quelloffenes Verschlüsselungsframework an

heise Security

image

Hacker gesucht: Ist diese Wahlmaschine wirklich unknackbar?

MIT Technology Review

Münzfernsprecher dessen Gehäuse fehlt, so dass die Innereien sichtbar sind

Gebührenbetrug und Phishing durch Schwachstelle in Microsoft Teams

iX Magazin

Anschließend deaktivierte der Forscher Protected Process Light (PPL) durch die Installation einer verwundbaren Version der entsprechenden Windows-Komponente. PPL lässt speziell signierte Anwendungen so laufen, dass selbst Administratoren sie nicht verändern oder beenden können. Außerdem setzte er noch den Windows Defender außer Kraft, sodass der Antivirenschutz ebenfalls inaktiv war.

Diese Kombination macht es möglich, Anmeldedaten des Local Security Authority Subsystem Service (LSASS) zu dumpen und per Mimikatz die NTLM-Hashes herauszufiltern. Auf die gleiche Art konnte er auch den VBS zugrunde liegenden Hypervisor auf eine zwei Jahre alte Version downgraden, die anfällig für eine Rechteerhöhung ist. Dies führt letztlich dazu, dass ein potenzieller Angreifer vom an sich eingeschränkten User Mode (Ring 3) volle Kontrolle über den kompletten Virtualisierungsstack (Ring -1) erlangt.

Auch wenn für so eine Attacke Hürden zu überwinden sind, sollte Microsoft zeitnah handeln und Windows vor der geschilderten Downgrade-Attacke schützen. Wann und in welcher Form das passiert, ist jedoch bislang unklar.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Original Autor: Uli Ries
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

"Passwort" Folge 10: Nordkoreas digitale Armeen
Elektronische Schließfächer in Hotels & Co. gehack...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image