- Neue Forschungen zeigen, dass eine Schwachstelle in der Windows Update-Funktion ausgenutzt werden könnte, um Windows auf ältere Versionen herunterzustufen. Dies würde eine Vielzahl historischer Sicherheitslücken offenlegen, die dann genutzt werden könnten, um die vollständige Kontrolle über ein System zu erlangen. Diese Schwachstelle wurde vom Forscher Alon Leviev von SafeBreach Labs entdeckt, der nach Downgrade-Attacken forschte. Die exploitierte Schwachstelle im Windows Update-Prozess ermöglicht es, Windows- und Sicherheitskomponenten strategisch herunterzustufen. Microsoft arbeitet derzeit an Abschwächungsmaßnahmen, um diese Risiken zu minimieren und den maximalen Kundenschutz zu gewährleisten.
Neue Forschungen, die heute auf der Sicherheitskonferenz in Las Vegas präsentiert werden, zeigen, dass eine Schwachstelle in der Windows Update-Funktion ausgenutzt werden könnte, um Windows auf ältere Versionen herunterzustufen. Dies würde eine Vielzahl historischer Sicherheitslücken offenlegen, die dann genutzt werden könnten, um die vollständige Kontrolle über ein System zu erlangen. Microsoft arbeitet derzeit an einem komplexen Verfahren, das als „Downdate“ bezeichnet wird.
Alon Leviev, der Forscher von SafeBreach Labs, begann nach möglichen Methoden für Downgrade-Attacken zu suchen, nachdem er eine alarmierende Hacking-Kampagne aus dem letzten Jahr (bekannt als „BlackLotus UEFI Bootkit“) analysiert hatte. Diese Kampagne nutzte das Herabstufen des Windows-Bootmanagers auf eine alte, anfällige Version. Nachdem er den Update-Prozess von Windows untersucht hatte, entdeckte Leviev eine Methode, um Windows strategisch herunterzustufen – entweder das gesamte Betriebssystem oder spezifische Komponenten.
Exploit in Windows Update
Leviev entwickelte einen Proof-of-Concept-Angriff, der diesen Zugang nutzte, um den Schutz namens Virtualisierung-basierte Sicherheit (VBS) zu deaktivieren und schließlich hoch privilegierten Code im Kern des Computers, dem sogenannten „Kernel“, zu zielen. „Ich habe eine Downgrade-Exploitation gefunden, die vollständig unsichtbar ist, da sie über das Windows Update selbst durchgeführt wird“, sagte Leviev im Vorfeld seines Vortrags. „In Bezug auf die Unsichtbarkeit habe ich kein Update deinstalliert – ich habe das System im Grunde aktualisiert, obwohl es unter der Haube herabgestuft wurde. Das System ist sich des Downgrades nicht bewusst und erscheint weiterhin aktuell.“
Levievs Fähigkeit zum Downgrade resultiert aus einem Fehler in den Komponenten des Windows Update-Prozesses. Um ein Upgrade durchzuführen, platziert Ihr PC im Wesentlichen eine Anfrage zur Aktualisierung in einem speziellen Update-Ordner. Dieser Ordner wird dann dem Microsoft Update-Server präsentiert, der die Integrität dieser Anfrage überprüft. Danach erstellt der Server einen zusätzlichen Update-Ordner, den nur er kontrollieren kann. Dort platziert und finalisiert er das Update und speichert auch eine Aktionsliste namens „pending.xml“, die die Schritte des Update-Plans enthält, wie z.B. welche Dateien aktualisiert werden und wo der neue Code auf Ihrem Computer gespeichert wird. Wenn Sie Ihren PC neu starten, nimmt er die Aktionen aus der Liste und aktualisiert die Software.
Schwachstelle im Update-Prozess
Leviev untersuchte verschiedene Dateien im Update-Ordner des Benutzers und im serverseitig kontrollierten Update-Ordner. Dabei stellte er fest, dass er die Aktionsliste im serverseitigen Ordner zwar nicht direkt modifizieren konnte, aber einer der Schlüssel, der die Liste kontrolliert – genannt „PoqexecCmdline“ – war nicht gesperrt. Dies ermöglichte Leviev, die Aktionsliste zu manipulieren und damit den gesamten Update-Prozess zu kontrollieren, ohne dass das System bemerkte, dass etwas faul war.
Mit dieser Kontrolle fand Leviev Strategien, um mehrere Schlüsselkomponenten von Windows herabzustufen, darunter Treiber, die mit Hardware-Peripheriegeräten zusammenarbeiten, dynamische Link-Bibliotheken, die Systemprogramme und Daten enthalten, sowie den NT-Kernel, der die grundlegendsten Anweisungen für den Betrieb eines Computers enthält. All diese könnten auf ältere Versionen heruntergestuft werden, die bekannte, gepatchte Schwachstellen enthalten. Leviev erweiterte seine Untersuchung auch auf Sicherheitskomponenten von Windows, wie den Windows Secure Kernel, das Windows-Anmelde- und Speicherkomponente Credential Guard, den Hypervisor, der virtuelle Maschinen auf einem System erstellt und überwacht, und VBS, das Windows-Virtualisierungs-Sicherheitsmechanismus.
Für Angreifer, die bereits initialen Zugriff auf ein Opfergerät haben, könnte diese Technik eine wahre Verwüstung anrichten, da das Windows-Update als vertrauenswürdiger Mechanismus gilt und eine Vielzahl gefährlicher Schwachstellen wieder einführen kann, die Microsoft im Laufe der Jahre behoben hat. Microsoft erklärt, dass bisher keine Versuche registriert wurden, diese Technik auszunutzen.
„Wir entwickeln aktiv Abschwächungsmaßnahmen, um gegen diese Risiken zu schützen, während wir einen umfangreichen Prozess durchführen, der eine gründliche Untersuchung, die Entwicklung von Updates für alle betroffenen Versionen und Kompatibilitätstests umfasst, um den maximalen Kundenschutz bei minimalen Betriebsstörungen zu gewährleisten“, sagte ein Microsoft-Sprecher in einer Erklärung.
Microsofts Maßnahmen zur Behebung dieses Problems umfassen die Zurückziehung anfälliger VBS-Systemdateien. Dies muss sorgfältig und schrittweise erfolgen, da es sonst Integrationsprobleme oder andere, bereits behobene Probleme erneut verursachen könnte. Leviev betont, dass Downgrade-Angriffe eine wichtige Bedrohung für die Entwicklergemeinschaft darstellen, da Hacker unermüdlich nach Möglichkeiten suchen, Zielsysteme auf unauffällige und schwer zu erkennende Wege zu kompromittieren.
