Noch kein Patch: Sicherheitsforscher beraubt Windows sämtlicher Schutzfunktionen
Stimmen die Voraussetzungen, können Angreifer Windows Update manipulieren, um beliebige Windows-Komponenten durch veraltete, angreifbare Vorgänger zu ersetzen.
(Bild: heise online)
- Uli Ries
Ein Sicherheitsforscher von SafeBreach hat das Tool "Windows Downdate" entwickelt, mit dem er die Windows-Update-Funktion unter Windows 10, 11 und den Server-Varianten dazu missbrauchen kann, beliebige alte und damit verwundbare Vorgängerversionen sämtlicher Windows-Komponenten zu installieren. Doch so eine Attacke ist nicht ohne Weiteres möglich.
Voraussetzung für Angriff
Der Forscher demonstrierte im Rahmen der Hacker-Konferenzen Black Hat und Def Con 32, wie Angreifer etwa besonders sensible Systembestandteile wie den Windows-Kernel oder den Hypervisor downgraden können. Weiterführende Details zu seiner Attacke beschreibt er in einem Blogbeitrag.
Er gibt an, die Schwachstelle im Februar an Microsoft gemeldet zu haben. Derzeit gibt es noch keine Sicherheitsupdates, die die Schwachstelle komplett schließen. Im Zuge des aktuellen Patchdays hat Microsoft immerhin zwei Sicherheitshinweise veröffentlicht (CVE-2024-38202 und CVE-2024-21302), mit denen sich das Risiko senken lassen soll.
(Bild: SafeBreach)
In die Karten spielt Microsoft hierbei, dass zum Ausführen der Attacke entweder lokale Administratorrechte nötig sind oder der Angreifer einen lokalen User dazu bekommen muss, eine Systemwiederherstellung auszulösen.
Ausgangspunkt
Ziel seiner Forschung sei es gewesen, Windows auf eine Art anzugreifen, die weder von EDR-Lösungen gemeldet, noch von Systemüberwachungs-Tools rückgängig gemacht werden kann.
Beim Untersuchen von Windows Update stieß der Forscher eigenen Angaben zufolge auf den Windows-Registry-Eintrag, der die zuständige Windows-Komponente (poqexec.exe) dazu veranlasst, das „Action File“ (pending.xml, vor einem Neustart zu finden in %windir%\WinSxS) mit Instruktionen für etwaige Updates abzuarbeiten. Normalerweise schiebt der Windows-Update-Server das Action File auf den Client, wo es beim nächsten Neustart verarbeitet wird.
Dieser Registry-Key lasse sich aber frei editieren, sodass der Trusted-Installer-Dienst (Windows Modules Installer) auch ohne Kommando vom Update-Server die vom Sicherheitsforscher in der Registry hinterlegten Anweisungen ausführt und ein manipuliertes Action File verarbeitet. In seinem Beispiel weist er den Updater per „HardlinkFile“-Befehl in der xml-Datei an, die von ihm gewählte veraltete Windows-Komponente über die Vorhandene zu kopieren.
Windows ohne Schutzfunktionen
Spannend wird dieses Vorgehen im Zusammenhang mit Virtualiziation Based Security (VBS), einer besonders geschützten virtuellen Umgebung. Microsoft hat VBS unter anderem erdacht, um auf bereits kompromittierten Windows-Systemen Geheimnisse weiterhin schützen zu können. Der Deaktivierung von VBS durch Nutzer mit Admin-Rechten hat Microsoft mit der Schutzfunktion UEFI Lock einen Riegel vorgeschoben: Anstatt die VBS-Konfiguration in der Registry abzulegen, packt UEFI Lock die Informationen in eine nur während des Bootvorgangs erreichbare UEFI-Variable.
Der Forscher war erstaunt zu sehen, dass ein per Windows Downdate auf den Rechner geschobener, jedoch nicht von Microsoft digital signierter VBS-Secure-Kernel nicht zum Abbruch des Bootvorgangs führte. Stattdessen startete der PC ganz normal, Windows deaktivierte jedoch aufgrund der fehlenden Signatur VBS und damit die Credential-Guard-Funktion.
Lesen Sie auch
Most Epic Fail: Crowdstrike-Präsident nimmt Pwnie Award persönlich entgegen
Diablo-1-Weltrekord auf dem Prüfstand
Hackerkollektiv cDc kündigt quelloffenes Verschlüsselungsframework an
Hacker gesucht: Ist diese Wahlmaschine wirklich unknackbar?
Gebührenbetrug und Phishing durch Schwachstelle in Microsoft Teams
Anschließend deaktivierte der Forscher Protected Process Light (PPL) durch die Installation einer verwundbaren Version der entsprechenden Windows-Komponente. PPL lässt speziell signierte Anwendungen so laufen, dass selbst Administratoren sie nicht verändern oder beenden können. Außerdem setzte er noch den Windows Defender außer Kraft, sodass der Antivirenschutz ebenfalls inaktiv war.
Diese Kombination macht es möglich, Anmeldedaten des Local Security Authority Subsystem Service (LSASS) zu dumpen und per Mimikatz die NTLM-Hashes herauszufiltern. Auf die gleiche Art konnte er auch den VBS zugrunde liegenden Hypervisor auf eine zwei Jahre alte Version downgraden, die anfällig für eine Rechteerhöhung ist. Dies führt letztlich dazu, dass ein potenzieller Angreifer vom an sich eingeschränkten User Mode (Ring 3) volle Kontrolle über den kompletten Virtualisierungsstack (Ring -1) erlangt.
Auch wenn für so eine Attacke Hürden zu überwinden sind, sollte Microsoft zeitnah handeln und Windows vor der geschilderten Downgrade-Attacke schützen. Wann und in welcher Form das passiert, ist jedoch bislang unklar.
(des)