Auf der Black Hat-Konferenz in Las Vegas zum Thema Informationssicherheit, hat ein Sicherheitsforscher ein besorgniserregendes Szenario vorgestellt: Hacker könnten das Programm „Windows Update“ manipulieren, um die Systemsicherheit zu verschlechtern. Er zeigte Techniken, mit denen Kriminelle das vertraute Microsoft-Programm missbrauchen könnten.
Windows Update als Gefahrenquelle
„Was passiert, wenn Kriminelle das Update manipulieren?“, fragte Leviev, Sicherheitsforscher bei SafeBreach, auf der Konferenz und führte vor, wie Angreifer*innen grundlegende Änderungen an der Sicherheit von Windows vornehmen könnten, berichtete PCMag. Der bekannte Black Lotus Angriff aus dem Jahr 2022 inspirierte Leviev zu seinen Untersuchungen. Dieser schaffte es, das Secure Boot-System von Windows 11 zu umgehen.
Der Angriff zeigte damals, dass Hacker*innen durch das Ersetzen einer dieser Komponenten mit einer älteren, anfälligen Version das System kompromittieren konnten. Microsoft reagierte, indem es die alten, verwundbaren Komponenten blockierte.
Das war Leviev aber nicht genug. Er wollte wissen, ob es weitere Schwachstellen in anderen Komponenten von Windows Update gibt. Ein erfolgreicher Downgrade-Angriff muss unentdeckt, unsichtbar, dauerhaft und irreversibel sein, erklärte der Sicherheitsforscher. Besonders herausfordernd war es, die Änderungen vor dem nächsten normalen Update zu verbergen.
Lesetipp: Massiver Internetausfall: Fataler Fehler legt weltweit Rechner, Flughäfen und Kliniken lahm
Wird Microsoft reagieren?
Der Forscher entdeckte schließlich eine Schwachstelle in der Aktionsliste, die während des Neustarts ausgeführt wird. Indem er diese kontrollierte, konnte Leviev die volle Leistung von Windows Update nutzen, um Änderungen am System vorzunehmen. Damit ein Rückgängigmachen der Änderungen verhindert wird, kompromittierte er die Komponente, die die Aktionsliste analysiert. „Dadurch wird der Begriff ‚vollständig gepatcht‘ auf allen Windows-Rechnern weltweit bedeutungslos“, schlussfolgerte Leviev.
Während seiner Präsentation demonstrierte Leviev, wie der Angriff bis zur Kompromittierung des Windows-Kernels und des Hypervisor-Systems führen kann. In einer Live-Demo zeigte er, wie er eine sichere Windows-11-Installation dahingehend veränderte, um den Credential Guard zu deaktivieren und andere wichtige Sicherheitskomponenten zu ersetzen. Dies ermöglichte ihm den Zugriff auf Systemkennwörter und andere sensible Daten. Das Publikum applaudierte beeindruckt.
Auch wenn dieser Angriff bislang nur theoretisch ist, könnte er gravierende Folgen haben, wenn er in die Hände von Kriminellen gerät. „Vielleicht sehen wir auf der nächsten Black Hat-Konferenz eine Präsentation von Microsoft, in der sie erklären, wie sie Windows gegen diesen Downgrade-Angriff abgesichert haben“, hofft Leviev. Bis dahin bleibt die Sorge, dass Windows Update als Einfallstor für gefährliche Angriffe genutzt werden könnte.
Quelle: PCMag
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.