Neue Forschungsergebnisse, die heute auf der Black Hat-Sicherheitskonferenz in Las Vegas vorgestellt wurden, zeigen, dass eine Schwachstelle in Windows Update ausgenutzt werden könnte, um Windows auf ältere Versionen herunterzustufen, wodurch eine Reihe historischer Schwachstellen aufgedeckt werden, die dann ausgenutzt werden können, um die volle Kontrolle über ein System zu erlangen. Microsoft gibt an, an einem komplexen Prozess zur sorgfältigen Behebung des Problems zu arbeiten, der als „Downdate“ bezeichnet wird.
Alon Leviev, der SafeBreach Labs-Forscher, der den Fehler entdeckte, sagte, er habe mit der Erforschung möglicher Downgrade-Angriffsmethoden begonnen, nachdem er gesehen hatte, dass bei einer überraschenden Hacking-Kampagne im letzten Jahr eine Art Malware (bekannt als „BlackLotus UEFI Bootkit“) verwendet wurde, die auf einem Downgrade von Windows beruhte Boot-Manager auf eine ältere, anfällige Version. Nachdem er den Windows Update-Feed untersucht hatte, entdeckte Leviev eine Möglichkeit, Windows strategisch herunterzustufen, entweder das gesamte Betriebssystem oder nur bestimmte ausgewählte Komponenten. Von dort aus entwickelte er einen Proof-of-Concept-Angriff, der diesen Zugriff nutzte, um den Windows-Schutz namens Virtualization-Based Security (VBS) zu deaktivieren und letztendlich hochprivilegierten Code im „Kernel“ des Computers anzugreifen.
„Ich habe einen Downgrade-Exploit gefunden, der völlig unentdeckbar ist, weil er über Windows Update selbst erfolgt“, dem das System vertraut, sagte Leviev vor seinem Vortrag gegenüber WIRED. „Was die Unsichtbarkeit betrifft, habe ich keine Updates deinstalliert. Ich habe das System grundsätzlich aktualisiert, obwohl es unter der Haube heruntergestuft wurde. Das System merkt also nichts von der Herabstufung und scheint immer noch auf dem neuesten Stand zu sein. »
Levievs Downgrade-Fähigkeit beruht auf einem Fehler in Komponenten des Windows-Update-Prozesses. Um ein Upgrade durchzuführen, platziert Ihr PC im Wesentlichen eine Update-Anfrage in einem speziellen Update-Ordner. Anschließend wird dieser Ordner dem Microsoft Update-Server vorgelegt, der seine Integrität prüft und bestätigt. Anschließend erstellt der Server einen zusätzlichen Update-Ordner für Sie, den nur er steuern kann, in dem er das Update ablegt und abschließt und außerdem eine Liste von Aktionen namens „pending.xml“ speichert, die die Schritte des Update-Plans enthält, z. B. welche Dateien aktualisiert werden und der neue Code auf Ihrem Computer gespeichert wird. Wenn Sie Ihren PC neu starten, führt er die in der Liste aufgeführten Aktionen aus und aktualisiert die Software.
Die Idee dahinter ist, dass selbst wenn Ihr Computer, einschließlich Ihres Update-Ordners, kompromittiert ist, ein böswilliger Akteur den Update-Prozess nicht kapern kann, da die entscheidenden Teile davon im Update-Ordner stattfinden. Das Update wird vom Server gesteuert. Leviev untersuchte jedoch die verschiedenen Dateien im Update-Ordner des Benutzers und im Update-Ordner des Servers genau und stellte schließlich fest, dass er zwar die Liste der Aktionen im Server-Update nicht direkt bearbeiten konnte, aber einer der Schlüssel, der es steuert, mit dem Namen „PoqexecCmdline“ wurde nicht gesperrt. Dies gab Leviev die Möglichkeit, die Aktionsliste und damit den gesamten Aktualisierungsprozess zu manipulieren, ohne dass das System bemerkte, dass etwas nicht stimmte.
Mithilfe dieser Kontrolle fand Leviev dann Strategien zum Downgrade mehrerer wichtiger Windows-Komponenten, darunter Treiber, die Hardwaregeräte koordinieren; dynamische Linkbibliotheken, die Systemprogramme und Daten enthalten; und vor allem der NT-Kernel, der die meisten grundlegenden Anweisungen zum Betrieb eines Computers enthält. Alle diese Komponenten könnten auf ältere Versionen heruntergestuft werden, die bekannte und behobene Schwachstellen enthalten. Und Leviev weitete seine Suche sogar aus, um Strategien für die Herabstufung von Windows-Sicherheitskomponenten zu finden, einschließlich des Windows Secure Kernel; die Windows Credential Guard-Kennwort- und Speicherkomponente; der Hypervisor, der virtuelle Maschinen auf einem System erstellt und überwacht; und VBS, der Windows-Virtualisierungssicherheitsmechanismus.
Diese Technik ermöglicht keinen Fernzugriff auf das Gerät des Opfers, aber für einen Angreifer, der bereits über ersten Zugriff verfügt, könnte sie eine echte Eskalation ermöglichen, da Windows Update ein sehr zuverlässiger Mechanismus ist und eine Vielzahl gefährlicher Schwachstellen, die gepatcht wurden, wieder einführen kann von Microsoft im Laufe der Jahre entwickelt. Microsoft sagt, es habe keine Versuche gesehen, diese Technik auszunutzen.
„Wir entwickeln aktiv Abhilfemaßnahmen zum Schutz vor diesen Risiken und befolgen dabei einen gründlichen Prozess, der gründliche Untersuchungen, die Entwicklung von Updates für alle betroffenen Versionen und Kompatibilitätstests umfasst, um maximalen Schutz der Kunden bei minimalen Betriebsunterbrechungen zu gewährleisten“, sagte ein Microsoft-Sprecher gegenüber WIRED ein Statement.
Ein Teil der vom Unternehmen vorgeschlagenen Lösung besteht darin, anfällige VBS-Systemdateien zu widerrufen. Dies sollte sorgfältig und schrittweise erfolgen, da dies zu Integrationsproblemen führen oder andere, nicht damit zusammenhängende Probleme erneut einführen könnte, die zuvor von denselben Systemdateien behoben wurden.
Leviev weist darauf hin, dass Downgrade-Angriffe eine erhebliche Bedrohung darstellen, die die Entwicklergemeinschaft berücksichtigen muss, da Hacker ständig nach Wegen suchen, um Systeme anzugreifen, die heimlich und schwer zu erkennen sind.