Sicherheitsforscher Alon Leviev hat ein Tool veröffentlicht, das Windows-Sicherheitspatches rückgängig machen kann – und zwar unbemerkt. Das “Windows Downdate”-Tool ermöglicht es, alte Schwachstellen wiederherzustellen und stellt damit eine große Gefahr dar.
Sicherheitslücken durch Downgrade-Angriffe
Microsoft reagiert bereits mit weiteren Sicherheitsupdates und diversen Empfehlungen zur Kontrolle der Systeme. Aber von vorn: Der Sicherheitsforscher Alon Leviev von SafeBreach hat ein Tool namens “Windows Downdate” veröffentlicht, das Sicherheitsexperten und potenziellen Angreifern ermöglicht, Sicherheitspatches auf Windows-Systemen rückgängig zu machen.
Das Tool, das als Open-Source-Python-Programm und vorkompilierte Windows-Executable verfügbar ist, kann auf Windows 10, Windows 11 und Windows Server angewendet werden.
Leviev demonstrierte das Tool erstmals auf der Black Hat 2024 und hat es nun der Öffentlichkeit zugänglich gemacht. Wie er auf X (ehemals Twitter) mitteilte, nutzt Windows Downdate die Schwachstellen CVE-2024-21302 und CVE-2024-38202 aus, um Teile des Windows Update-Prozesses zu umgehen und benutzerdefinierte Downgrade-Pakete zu erstellen:
Gefährliche Möglichkeiten für Angreifer
Das Besorgniserregende an Windows Downdate ist seine Fähigkeit, unbemerkt zu operieren. Endpoint Detection and Response (EDR) Lösungen können das Tool nicht blockieren, und Windows Update meldet weiterhin, dass das System auf dem neuesten Stand ist, selbst wenn es bereits heruntergestuft wurde.
Leviev hat mehrere Beispiele für die Anwendung des Tools bereitgestellt. Diese zeigen, wie man den Hyper-V-Hypervisor auf eine zwei Jahre alte Version zurücksetzt oder den Windows-Kernel, den NTFS-Treiber und den Filter Manager-Treiber auf ihre ursprünglichen Versionen zurückführt. Auch andere Windows-Komponenten und zuvor angewendete Sicherheitspatches können rückgängig gemacht werden.
Ich habe mehrere Möglichkeiten entdeckt, die Windows-basierte Virtualisierungssicherheit (VBS) zu deaktivieren, einschließlich ihrer Funktionen wie Credential Guard und Hypervisor-Protected Code Integrity (HVCI), selbst wenn diese durch UEFI-Sperren erzwungen werden. Meines Wissens ist dies das erste Mal, dass VBS-UEFI-Sperren ohne physischen Zugriff umgangen wurden.
Alon Leviev, Sicherheitsforscher bei SafeBreach
Microsofts Reaktion und Empfehlungen
Microsoft hat bereits am 7. August ein Sicherheitsupdate (KB5041773) veröffentlicht, um die Schwachstelle CVE-2024-21302 zu beheben. Für CVE-2024-38202, also für die zweite Schwachstelle, die den Downgrade ermöglicht, steht jedoch noch kein Patch zur Verfügung. Bis zur Veröffentlichung eines Updates empfiehlt Microsoft Anwendern daher, die im Sicherheitshinweis vom Anfang des Monats aufgeführten Empfehlungen zu befolgen.
Diese Empfehlungen umfassen:
- Konfiguration der “Audit Object Access”-Einstellungen zur Überwachung von Dateizugriffsversuchen
- Einschränkung von Update- und Wiederherstellungsvorgängen
- Verwendung von Zugriffssteuerungslisten (ACLs) zur Begrenzung des Dateizugriffs
- Regelmäßige Audits zur Identifizierung von Versuchen, die Schwachstelle auszunutzen
Hintergrund und Bedeutung von Downgrades
In der Informatik bezeichnet “Downgrading” das Zurücksetzen von Software (oder Hardware) auf eine ältere Version. Programme müssen manchmal heruntergestuft werden, um eingeführte Fehler zu beseitigen, entfernte Funktionen wiederherzustellen oder die Geschwindigkeit und/oder Benutzerfreundlichkeit zu erhöhen.
Der Begriff “Downgrade” wurde besonders während der Windows Vista-Ära populär, als viele Benutzer aufgrund von Leistungs- und Kompatibilitätsproblemen zu Windows XP zurückkehren wollten. In diesem Fall wurde der Downgrade von vielen sogar als “Upgrade” bezeichnet.
Während Downgrades in bestimmten Situationen nützlich sein können, stellt das Windows Downdate-Tool eine ernsthafte Bedrohung für die Sicherheit von Windows-Systemen dar. Es ermöglicht Angreifern, gezielt Schwachstellen wiederherzustellen und somit die Sicherheitsmaßnahmen von Microsoft zu umgehen.
Was haltet ihr von diesem Tool und seinen möglichen Konsequenzen? Seht ihr es als nützliches Instrument für Sicherheitsforscher oder als gefährliches Werkzeug in den falschen Händen? Teilt eure Gedanken in den Kommentaren mit uns!
Zusammenfassung
- Alon Leviev veröffentlicht “Windows Downdate”-Tool
- Tool macht Windows-Sicherheitspatches rückgängig
- Verfügbar für Windows 10, 11 und Windows Server
- Nutzung der Schwachstellen CVE-2024-21302 und CVE-2024-38202
- EDR-Lösungen können das Tool nicht blockieren
- Microsoft veröffentlicht Sicherheitsupdate am 7. August
- Empfehlungen zur Einschränkung von Update-Vorgängen
Siehe auch:
