{"id":31624,"date":"2024-09-13T09:04:42","date_gmt":"2024-09-13T07:04:42","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31624"},"modified":"2024-09-13T09:04:42","modified_gmt":"2024-09-13T07:04:42","slug":"windows-downgrade-downdate-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/windows-downgrade-downdate-protection\/31624\/","title":{"rendered":"So sch\u00fctzt du dich vor Downgrade-Angriffen auf Windows"},"content":{"rendered":"

Alle Softwareanwendungen, einschlie\u00dflich der Betriebssysteme, enthalten Schwachstellen, daher sind regelm\u00e4\u00dfige Patch-Updates ein Eckpfeiler der Cybersicherheit. Die Forscher, die den Windows-Downdate<\/a>-Angriff entwickelt haben, haben es auf genau diesen Update-Mechanismus abgesehen und ihr Ziel war, ein vollst\u00e4ndig aktualisiertes Windows-System heimlich auf eine \u00e4ltere Version zur\u00fcckzusetzen, die anf\u00e4llige Dateien und Dienste enth\u00e4lt. Dadurch ist das System\u00a0\u2013 einschlie\u00dflich des Hypervisors<\/a> und des sicheren Kernels\u00a0\u2013 bekannten Exploits und Gef\u00e4hrdungen tief im System ausgesetzt. Schlimmer noch, Standard-Updates und Systemintegrationspr\u00fcfungen melden, dass alles auf dem neuesten Stand und in Ordnung ist.<\/p>\n

Angriffsmechanismus<\/h2>\n

Tats\u00e4chlich fanden die Forscher zwei separate Fehler mit leicht unterschiedlichen Wirkungsmechanismen. Eine Schwachstelle\u00a0\u2013 der die ID CVE-2024-21302<\/a> zugewiesen wurde und die als Downdate bezeichnet wird\u00a0\u2013 basiert auf einem Fehler bei der Installation des Updates: Die heruntergeladenen Update-Komponenten werden kontrolliert, vor \u00c4nderungen gesch\u00fctzt und digital signiert, aber w\u00e4hrend eines Zwischenstadiums der Installation (zwischen den Neustarts) erstellt und verwendet die Update-Prozedur eine Datei mit einer Liste der geplanten Aktionen (pending.xml). Wenn Angreifer in der Lage sind, eine eigene Version dieser Datei zu erstellen und Informationen dar\u00fcber zur Registrierung hinzuzuf\u00fcgen, f\u00fchrt der \u00a0Windows Modules Installer-Dienst (TrustedInstaller)<\/a> die darin enthaltenen Anweisungen beim Neustart aus.<\/p>\n

Tats\u00e4chlich wird der Inhalt der pending.xml \u00fcberpr\u00fcft, aber das geschieht w\u00e4hrend der vorherigen<\/strong> Installationsphasen\u00a0\u2014 TrustedInstaller \u00fcberpr\u00fcft sie nicht erneut. Nat\u00fcrlich ist es unm\u00f6glich, auf diese Weise beliebige Dateien in die Datei zu schreiben und beliebige Dateien zu installieren\u00a0\u2013 da diese von Microsoft signiert sein m\u00fcssen, aber es ist durchaus m\u00f6glich, Systemdateien durch \u00e4ltere von Microsoft entwickelte Dateien zu ersetzen. Dadurch kann das System seit langem gepatchten Schwachstellen erneut ausgesetzt sein\u00a0\u2013 einschlie\u00dflich kritischer Schwachstellen. Um der Registrierung die erforderlichen Schl\u00fcssel f\u00fcr die pending.xml hinzuzuf\u00fcgen, sind Administratorrechte erforderlich und anschlie\u00dfend muss ein Systemneustart ausgef\u00fchrt werden. Dies sind jedoch die einzigen wesentlichen Einschr\u00e4nkungen. F\u00fcr diesen Angriff sind keine erh\u00f6hten Berechtigungen erforderlich (wobei Windows die Anzeige verdunkelt und den Administrator um zus\u00e4tzliche Berechtigungen bittet) und die meisten Sicherheitstools kennzeichnen die w\u00e4hrend des Angriffs ausgef\u00fchrten Aktionen nicht als verd\u00e4chtig.<\/p>\n

Die zweite Schwachstelle\u00a0\u2013 CVE-2024-38202<\/a>\u00a0\u2013 erm\u00f6glicht es einem Akteur, den Ordner Windows.old zu manipulieren, in dem das Update-System die vorherige Windows-Installation speichert. Obwohl f\u00fcr die \u00c4nderung von Dateien in diesem Ordner spezielle Berechtigungen erforderlich sind, kann ein Angreifer mit normalen Benutzerrechten den Ordner umbenennen, eine neue Windows.old-Datei erstellen und veraltete, anf\u00e4llige Versionen von Windows-Systemdateien darin ablegen. Bei einer Systemwiederherstellung wird Windows dann auf die anf\u00e4llige Installation zur\u00fcckgesetzt. F\u00fcr die Systemwiederherstellung sind bestimmte Berechtigungen erforderlich, allerdings keine Administratorrechte und die Rechte werden manchmal auch normalen Benutzern gew\u00e4hrt.<\/p>\n

VBS-Bypass und Passwortdiebstahl<\/h2>\n

Seit 2015 wurde die Windows-Architektur \u00fcberarbeitet, um eine Gef\u00e4hrdung des Windows-Kernels zu verhindern, die zu einer Gef\u00e4hrdung des gesamten Systems f\u00fchrt. Dabei handelt es sich um eine Reihe von Ma\u00dfnahmen, die zusammenfassend als virtualisierungsbasierte Sicherheit (VBS)<\/a> bezeichnet werden. Der System-Hypervisor wird unter anderem verwendet, um Betriebssystemkomponenten zu isolieren und einen sicheren Kernel f\u00fcr die Ausf\u00fchrung der sensibelsten Operationen, die Speicherung von Passw\u00f6rtern usw. zu erstellen.<\/p>\n

Um zu verhindern, dass Angreifer VBS deaktivieren, kann Windows so konfiguriert werden, dass dies nicht m\u00f6glich ist\u00a0\u2013 selbst mit Administratorrechten. Du kannst diesen Schutz nur deaktivieren, indem du den Computer in einem speziellen Modus neu startest und einen Tastaturbefehl eingibst. Diese Funktion wird als Unified Extensible Firmware Interface (UEFI)-Sperre bezeichnet. Ein Windows-Downdate-Angriff umgeht auch diese Einschr\u00e4nkung, indem Dateien durch modifizierte, veraltete und anf\u00e4llige Versionen ersetzt werden. VBS \u00fcberpr\u00fcft Systemdateien nicht auf Aktualit\u00e4t, daher k\u00f6nnen sie ohne erkennbare Anzeichen oder Fehlermeldungen durch \u00e4ltere, anf\u00e4llige Versionen ersetzt werden. Das hei\u00dft, dass VBS technisch gesehen nicht deaktiviert ist, aber die Funktion f\u00fchrt ihre Sicherheitsfunktion nicht mehr aus.<\/p>\n

Bei diesem Angriff k\u00f6nnen Secure-Kernel- und Hypervisor-Dateien durch zwei Jahre alte Versionen ersetzt werden, die mehrere Schwachstellen enthalten, deren Ausnutzung zur Rechteausweitung f\u00fchrt. Auf diese Weise k\u00f6nnen Angreifer maximale Systemberechtigungen, vollen Zugriff auf den Hypervisor und die Prozesse zum Schutz des Speichers erlangen und auf einfache Weise Anmeldeinformationen, gehashte Passw\u00f6rter und auch NTLM<\/a>-Hashes aus dem Speicher lesen (was zur Ausweitung des Netzwerkangriffs verwendet werden kann) .<\/p>\n

Schutz vor Downdate<\/h2>\n

Microsoft wurde im Februar\u00a02024 \u00fcber die Downdate-Schwachstellen informiert, Details wurden jedoch erst im August im Rahmen des monatlichen Patch Tuesday-Rollouts ver\u00f6ffentlicht. Die Behebung der Fehler erwies sich als schwierige Aufgabe, die mit Nebenwirkungen verbunden war\u00a0\u2013 einschlie\u00dflich des Absturzes einiger Windows-Systeme. Anstatt also \u00fcberst\u00fcrzt einen weiteren Patch zu ver\u00f6ffentlichen, hat Microsoft vorerst lediglich einige Tipps zur Risikominimierung herausgegeben. Dazu geh\u00f6ren:<\/p>\n