[English]Altes Thema neu aufgelegt. Angreifer können Windows-Kernelkomponenten downgraden, und so die Absicherung des Betriebssystems durch Funktionen wie Driver Signature Enforcement umgehen. Dies ermöglicht Rootkits auf vollständig gepatchten Systemen einzusetzen. SafeBreach-Sicherheitsforscher Alon Leviev hat das Problem an Microsoft gemeldet, die aber nichts tun wollen.
Alter Downgrade-Angriff
Ich hatte im August 2024 im Beitrag Schwachstelle in Windows Update ermöglicht Downgrade-Angriffe (August 2024) bereits berichtet, dass SafeBreach-Sicherheitsforscher Alon Leviev auf eine Schwachstelle in Windows Update hingewiesen hatte.
Durch die Ausnutzung einer Downgrade-Möglichkeiten entdeckte er die Schwachstelle CVE-2024-21302, die eine Ausweitung der Berechtigungen ermöglicht und den gesamten Windows-Virtualisierungs-Stack betrifft. Dadurch war es ihm möglich, per Downgrade-Angriff ein voll gepatchtes Windows anfällig für Angriffe zu machen, ohne dass der Nutzer das feststellen kann.
Neuer Downgrade-Angriff
Nun hat der Sicherheitsforscher zum 26. Oktober 2024 im Beitrag An Update on Windows Downdate nachgelegt, wie ich nachfolgendem Tweet (Bleeping Computer haben zuerst berichtet) entnehmen konnte.
Windows besitzt einen Schutzmechanismus (Driver Signature Enforcement), der verhindern soll, dass nicht signierte, unsichere Treiber installiert werden können. In einer neuen Veröffentlichung zeigt Leviev, wie ein Angreifer mit Administratorrechten auf einem Zielcomputer den Windows-Update-Prozess ausnutzen kann, um den Driver Signature Enforcement-Schutz (DSE) zu umgehen.
Dazu stuft er eine auf einen voll gepatchten Windows 11 vorhandene Windows-Komponente so herab, dass der DSE-Schutz nicht mehr greift. Der Hintergrund ist brisant: Während von Microsoft die oben erwähnte Schwachstellen CVE-2024-21302 gepatcht wurde, blieb die Möglichkeit zur Übernahme von Windows Update durch Angreifer, die vom Sicherheitsforscher ebenfalls an Microsoft gemeldet wurde, ungepatcht. Angeblich würde keine definierte Sicherheitsgrenze überschritten, hieß es von Microsoft. Denn die Ausführung von Kernel-Code als Administrator gilt nicht als Überschreitung einer Sicherheitsgrenze (und nicht als Sicherheitslücke).
Von Microsoft wurden in Windows 11 zwar einige Verbesserungen vorgenommen, die darauf abzielen, die Kompromittierung des Kernels zu erschweren und die Hürde für Angreifer zu erhöhen. Eine der Sicherheitsverbesserungen des Kernels ist die Funktion Driver Signature Enforcement (DSE).
Die Möglichkeit, Komponenten im Kernel herabzustufen, macht die Sache für Angreifer jedoch leider sehr viel einfacher, schreibt der Sicherheitsforscher. Er konnte zeigen, wie die „Übernahme von Windows Update“ die Umgehung der Funktion Driver Signature Enforcement (DSE) ermöglicht.
Diese Umgehung ermöglicht das Laden von unsignierten Kernel-Treibern. Dadurch können Angreifer benutzerdefinierte Rootkits einschleusen, die Sicherheitskontrollen ausschalten, Prozesse und Netzwerkaktivitäten verbergen, die Tarnung aufrechterhalten und vieles mehr. Details lassen sich im Beitrag An Update on Windows Downdate nachlesen.
Bug oder Feature…
Bug, weil es zu umständlich zum nutzen ist um ein feature zu sein.
Je umständlicher zu nutzen, desto eher ist es ein Feature, nur eben nicht für den normalen Endkunden…
Kann manchmal auch nützlich sein, besonders für Developer. Die Einschränkung von admin Rechten halte ich für eine schlechte Idee.
Ein Admin hat nie volle Rechte!
Es gibt noch 2 höher priviligierte Benutzer auf Windows-Systemen:
SYSTEM und Trusted Installer.
Es gibt Tools, mit denen man temporär entsprechende Rechte bekommen kann.
Daher ist es kein Problem, das Adminrechte eingeschränkt sind.
Es ist aber auch für Angreifer nützlich,
jedem der selbst signierte Treiber ausführen will ohne dabei auf Secure Boot zu verzichten kann ich nur die Nutzung von einer eigenen mit secure boot abgesicherten CI polity ans Herz legen: https://github.com/valinet/ssde
Das ist ein offizielles windows feature welches für die CN Regierung eingeführt wurde, und lässt sich sehr einfach via Hack in jeder anderen windows edition freischalten, siehe Github.
Die größere Hürde ist es die eigenen Keys ins UEFI zu bekommen, weil nicht jedes Mainboard macht das einfach oder ermöglicht es gar.
Was man auch machen kann ist das windows im Test signing mode zu betreiben dann werden alle Treiber egal von wem signiert akzeptiert, dies kann man dann mit einer CI polity wieder nur auf das eigene Zertifikat einschränken, dafür ist der CN Regierungs hack auch nicht mehr erforderlich.
Der hacken ist hier aber das man kein Secure Boot mehr hat, da man mit aktivem SB kein test signing aktivieren kann.
Ist das ein windows feature wie damals der _NSAKEY?
Naja, lies den Artikel und entscheide selber: https://www.geoffchappell.com/notes/windows/license/customkernelsigners.htm
Das feature wurde auf Wunsch der Chinesischen Regierung eingebaut und ist sofern nicht durch ein hack aktiviert nur ind deren „Enterprise G“ version (G steht hier wohl für governmental) aktiviert.