Microsoft zei dat het beveiligingsupdates aan het ontwikkelen was om twee kwetsbaarheden aan te pakken waarvan het zei dat ze misbruikt zouden kunnen worden om Windows-downgrade-aanvallen uit te voeren en huidige versies van besturingssysteembestanden te vervangen door oudere versies.
De kwetsbaarheden worden hieronder vermeld:
- CVE-2024-38202 (CVSS-score: 7,3) – Een beveiligingslek met betrekking tot misbruik van bevoegdheden in het Windows Update-pakket
- CVE-2024-21302 (CVSS-score: 6,7) – Kwetsbaarheidsverhoging van bevoegdheden in Kernel Secure Windows-modus
De eer voor het ontdekken en rapporteren van de tekortkomingen gaat naar SafeBreach Labs-onderzoeker Alon Leviev, die de resultaten presenteerde in Zwarte Hoed VS 2024 En Zeker Con 32.
CVE-2024-38202, dat wortel schiet in de Windows Backup-component, stelt “een aanvaller met basisgebruikersrechten in staat om eerder verholpen kwetsbaarheden opnieuw te introduceren of bepaalde Virtualization Based Security (VBS)-functies te omzeilen”, aldus de technologiegigant.
Het merkte echter op dat een aanvaller die misbruik wil maken van het beveiligingslek, een systeembeheerder of een gebruiker met gedelegeerde machtigingen zou moeten overtuigen om een systeemherstel uit te voeren, waardoor onbedoeld het beveiligingslek zou worden geactiveerd.
Het tweede beveiligingslek heeft ook betrekking op een situatie van escalatie van bevoegdheden op Windows-systemen die VBS ondersteunen, waardoor een aanvaller in feite de huidige versies van Windows-systeembestanden kan vervangen door oudere versies.
De gevolgen van CVE-2024-21302 zijn dat het kan worden ingezet om eerder aangepakte beveiligingsfouten opnieuw te introduceren, bepaalde VBS-functies te omzeilen en gegevens te extraheren die door VBS worden beschermd.
Leviev, die een tool beschreef die hij Windows Downdate noemde, Hij zei Het kan worden gebruikt om “een volledig gepatchte Windows-pc kwetsbaar te maken voor duizenden eerdere kwetsbaarheden, hardnekkige kwetsbaarheden om te zetten in ondoordringbare kwetsbaarheden en de term ‘volledig gepatcht’ betekenisloos te maken op elke Windows-pc ter wereld.”
Leviev voegde eraan toe dat de tool “het Windows-updateproces kan kapen om niet-detecteerbare, onzichtbare, persistente en onomkeerbare bijgewerkte versies te creëren op de belangrijkste componenten van het besturingssysteem – waardoor ik rechten kon escaleren en beveiligingsfuncties kon omzeilen.”
Bovendien kan Windows Downdate verificatiestappen omzeilen, zoals integriteitscontrole en het afdwingen van vertrouwde installatieprogramma’s, waardoor het mogelijk wordt om kritieke besturingssysteemcomponenten, waaronder Dynamic Link Libraries (DLL’s), stuurprogramma’s en de NT-kernel, effectief te downgraden.
Bovendien kunnen problemen worden uitgebuit om het geïsoleerde gebruikersmodusproces in Credential Guard, Secure Kernel en de hypervisor van Hyper-V te downgraden om eerdere kwetsbaarheden bij escalatie van bevoegdheden bloot te leggen, en om VBS uit te schakelen, samen met functies zoals Hypervisor Protected Code Integrity (HVCI) .
Het eindresultaat is dat een volledig gepatcht Windows-systeem kwetsbaar kan worden voor duizenden eerdere kwetsbaarheden, waardoor vaste fouten worden omgezet in niet-gepatchte kwetsbaarheden.
Deze reducties hebben als bijkomend effect dat het besturingssysteem rapporteert dat het hele systeem up-to-date is, terwijl tegelijkertijd wordt voorkomen dat toekomstige updates worden geïnstalleerd en worden gedetecteerd door herstel- en scantools.
“De downgrade-aanval die ik kon uitvoeren op het virtualisatiecluster binnen Windows was mogelijk vanwege een ontwerpfout waardoor de minst bevoorrechte virtuele vertrouwensniveaus/-ringen componenten konden updaten die zich in meer bevoorrechte virtuele vertrouwensniveaus/-ringen bevonden”, aldus Leviev.
“Dit was zeer verrassend, aangezien de VBS-functies van Microsoft in 2015 werden aangekondigd, wat betekent dat het ontdekte aanvalsoppervlak al bijna tien jaar bestond.”
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
