- Security-Patches für Windows sind unerlässlich, um PCs vor Bedrohungen zu schützen.
- Downgrade-Angriffe umgehen Microsofts Patches, um zuvor behobene Schwachstellen auszunutzen.
- Das Tool Windows Downdate setzt immunisierte Software auf ältere Versionen zurück und erzeugt irreversible Angriffe.
- EDR-Lösungen können Downgrade-Angriffe nicht erkennen, wodurch Systeme trotz aktueller Updates gefährdet bleiben.
- Das Tool dient als Machbarkeitsnachweis, und Microsoft arbeitet an notwendigen Korrekturen.
Security-Patches für Windows sind unerlässlich, um Ihren PC vor wachsenden Bedrohungen zu schützen. Doch Downgrade-Angriffe umgehen Microsofts Patches, und ein Sicherheitsforscher hat untersucht, wie verheerend diese sein können. Der SafeBreach-Security-Forscher Alon Leviev teilte mit, dass sie ein Tool namens Windows Downdate als Machbarkeitsnachweis erstellt haben. Dieses Tool erzeugt dauerhafte und irreversible Angriffe auf Windows-Server-Systeme sowie Windows 10 und 11 Komponenten.
Downgrade-Angriffe: Eine unsichtbare Bedrohung
Leviev erklärt, dass sein Tool (und ähnliche Bedrohungen) eine Versions-Rücksetzung durchführen, „die darauf abzielt, eine immunisierte, vollständig aktualisierte Software auf eine ältere Version zurückzusetzen. Sie ermöglichen böswilligen Akteuren, zuvor behobene Schwachstellen erneut auszunutzen, um Systeme zu kompromittieren und unautorisierten Zugriff zu erlangen.“
Er betont zudem, dass Sie das Tool verwenden können, um den PC älteren Schwachstellen in Treibern, DLLs, Secure Kernel, NT Kernel, dem Hypervisor und mehr auszusetzen. Leviev erklärte weiter: „Neben benutzerdefinierten Downgrades bietet Windows Downdate einfache Nutzungsbeispiele für das Zurücksetzen von Patches für CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 und PPLFault sowie Beispiele zum Downgraden des Hypervisors, des Kernels und zum Umgehen von VBS’s UEFI-Sperren.“
Unerkannte Gefahren durch Windows Downdate
Besorgniserregend ist, dass das Tool nicht erkannt werden kann, da es von Endpoint Detection and Response (EDR)-Lösungen nicht blockiert werden kann, und Ihr Windows-Computer wird Ihnen weiterhin sagen, dass er auf dem neuesten Stand ist, obwohl dies nicht der Fall ist. Leviev entdeckte auch verschiedene Möglichkeiten, die Virtualisierungsbasierte Sicherheit (VBS) zu umgehen, einschließlich der Hypervisor-Protected Code Integrity (HVCI) und Credential Guard.
Microsoft veröffentlichte am 7. August ein Sicherheitsupdate (KB5041773), um die Privilegieneskalationslücke im Windows Secure Kernel Mode zu beheben, sowie einen Patch für andere Schwachstellen. Zudem hat Microsoft Anleitungen für Windows-Nutzer veröffentlicht, um sicher zu bleiben, wie etwa das Konfigurieren der „Audit Object Access“-Einstellungen zum Scannen nach Datei-Zugriffsversuchen. Die Veröffentlichung dieses neuen Tools zeigt, wie anfällig PCs für Angriffe sind und warum Sie in Sachen Cybersicherheit nie nachlassen sollten.
Ein Hauch von Erleichterung
Die gute Nachricht ist, dass wir vorerst beruhigt sein können, da das Tool als Machbarkeitsnachweis erstellt wurde, ein Beispiel für „White-Hat-Hacking“, um Schwachstellen zu entdecken, bevor Schadakteure dies tun. Leviev übergab seine Ergebnisse zudem im Februar 2024 an Microsoft, und es bleibt zu hoffen, dass der Software-Gigant bald die notwendigen Korrekturen bereitstellen wird.
