Auf der Black Hat Konferenz 2024 präsentierte der Sicherheitsexperte Alon Leviev von SafeBreach zwei bisher unbekannte kritische Schwachstellen in Windows-Systemen. Diese Zero-Day-Lücken ermöglichen sogenannte Downgrade-Angriffe, bei denen selbst vollständig aktualisierte Windows 10, Windows 11 und Windows Server Installationen auf ältere, verwundbare Versionen zurückgesetzt werden können. Microsoft hat noch keine Patches für diese Sicherheitslücken veröffentlicht.
Details zu den entdeckten Schwachstellen
Die beiden Schwachstellen wurden von Microsoft als CVE-2024-38202 und CVE-2024-21302 katalogisiert. Sie erlauben es Angreifern, den Windows Update Prozess zu manipulieren und kritische Systemkomponenten wie DLL-Bibliotheken und den NT-Kernel auf ältere Versionen zurückzusetzen. Besonders problematisch ist, dass Windows Update diese Downgrade-Angriffe nicht erkennt und das System weiterhin als vollständig aktualisiert meldet.
Auswirkungen auf die Systemsicherheit
Durch die Ausnutzung dieser Schwachstellen können Angreifer wichtige Sicherheitsfunktionen wie Credential Guard, Secure Kernel und Hyper-V auf verwundbare Versionen zurücksetzen. Dies öffnet die Tür für die Ausnutzung zahlreicher alter Sicherheitslücken zur Rechteausweitung. Leviev betont: „Diese Angriffe machen den Begriff ‚vollständig gepatcht‘ für Windows-Systeme praktisch bedeutungslos.“
Umgehung von UEFI-Sicherheitsmaßnahmen
Besonders besorgniserregend ist, dass die entdeckten Techniken es ermöglichen, Virtualization Based Security (VBS) Funktionen zu deaktivieren – selbst wenn diese durch UEFI-Einstellungen geschützt sind. Dies stellt laut Leviev den ersten bekannten Fall dar, in dem UEFI-Sperren für VBS ohne physischen Zugriff umgangen werden konnten.
Reaktion von Microsoft und Empfehlungen
Microsoft wurde bereits im Februar 2024 über die Schwachstellen informiert, arbeitet aber noch an einer Lösung. Das Unternehmen hat Sicherheitsbulletins veröffentlicht und Empfehlungen zur Risikominimierung gegeben. Bislang sind keine aktiven Ausnutzungen der Lücken in freier Wildbahn bekannt.
Bis zur Veröffentlichung von Patches empfiehlt es sich für Systemadministratoren und Sicherheitsverantwortliche, die von Microsoft bereitgestellten Mitigationsmaßnahmen zu implementieren. Dazu gehören verstärkte Zugriffskontrollen und die Überwachung verdächtiger Aktivitäten im Zusammenhang mit Windows Update Prozessen. Eine regelmäßige Überprüfung der Systemintegrität und der installierten Softwareversionen kann ebenfalls helfen, potenzielle Downgrade-Angriffe frühzeitig zu erkennen.
