Risico’s van Windows Downgrade-aanvallen die gepatchte systemen blootstellen aan oude kwetsbaarheden

Microsoft zegt dat het beveiligingsupdates ontwikkelt om twee zwakke plekken in de wet te dichten. Volgens Microsoft kunnen deze zwakke plekken worden misbruikt om downgrade-aanvallen op de Windows-updatearchitectuur uit te voeren en huidige versies van de Windows-bestanden te vervangen door oudere versies.

De kwetsbaarheden worden hieronder vermeld:

  • CVE-2024-38202 (CVSS-score: 7,3) – Windows Update Stack Elevation of Privilege-kwetsbaarheid
  • CVE-2024-21302 (CVSS-score: 6,7) – Windows Secure Kernel Mode-kwetsbaarheid voor misbruik van bevoegdheden

De ontdekking en rapportage van de fouten wordt toegeschreven aan Alon Leviev, onderzoeker bij SafeBreach Labs. Hij presenteerde de bevindingen op Black Hat USA 2024 en DEF CON 32.

CVE-2024-38202, dat is geworteld in het Windows Backup-onderdeel, staat een “aanvaller met basisgebruikersrechten toe om eerder verholpen kwetsbaarheden opnieuw te introduceren of bepaalde functies van Virtualization Based Security (VBS) te omzeilen”, aldus de techgigant.

Er werd echter opgemerkt dat een aanvaller die de fout wil misbruiken, een beheerder of een gebruiker met gedelegeerde rechten moet overtuigen om een ​​systeemherstel uit te voeren, waardoor de kwetsbaarheid onbedoeld wordt geactiveerd.

De tweede kwetsbaarheid betreft ook een geval van privilege-escalatie in Windows-systemen die VBS ondersteunen, waardoor een aanvaller feitelijk de huidige versies van Windows-systeembestanden kan vervangen door verouderde versies.

De gevolgen van CVE-2024-21302 zijn dat het kan worden ingezet als wapen om eerder aangepakte beveiligingslekken opnieuw te introduceren, bepaalde functies van VBS te omzeilen en gegevens te exfiltreren die door VBS zijn beschermd.

Windows Downgrade-aanval

Leviev, die een tool beschreef met de naam Windows Downdate, zei dat het gebruikt kon worden om een ​​”volledig gepatchte Windows-machine vatbaar te maken voor duizenden oude kwetsbaarheden, waardoor opgeloste kwetsbaarheden in zero-days werden omgezet en de term ‘volledig gepatcht’ op geen enkele Windows-machine ter wereld meer betekenis had.”

De tool, voegde Leviev toe, kon “het Windows Update-proces overnemen om volledig onopgemerkte, onzichtbare, blijvende en onomkeerbare downgrades op cruciale OS-componenten uit te voeren, waardoor ik privileges kon verhogen en beveiligingsfuncties kon omzeilen.”

Bovendien kan Windows Downdate verificatiestappen omzeilen, zoals integriteitscontrole en Trusted Installer-afdwinging. Hierdoor is het effectief mogelijk om kritieke componenten van het besturingssysteem te downgraden, waaronder Dynamic Link Libraries (DLL’s), drivers en de NT-kernel.

De problemen kunnen bovendien worden misbruikt om het Isolated User Mode Process van Credential Guard, de Secure Kernel en de hypervisor van Hyper-V te downgraden, om zo kwetsbaarheden in eerdere privilege-escalatie bloot te leggen en VBS uit te schakelen, samen met functies als Hypervisor-Protected Code Integrity (HVCI).

Het eindresultaat is dat een volledig gepatcht Windows-systeem vatbaar kan zijn voor duizenden kwetsbaarheden uit het verleden, waardoor opgeloste tekortkomingen kunnen worden omgezet in zero-days.

Deze downgrades hebben een extra impact, omdat het besturingssysteem meldt dat het systeem volledig is bijgewerkt. Tegelijkertijd wordt de installatie van toekomstige updates voorkomen en worden detectie door herstel- en scantools verhinderd.

“De downgrade-aanval die ik op de virtualisatiestack binnen Windows kon uitvoeren, was mogelijk vanwege een ontwerpfout waardoor minder bevoorrechte virtuele vertrouwensniveaus/ringen componenten konden updaten die zich in meer bevoorrechte virtuele vertrouwensniveaus/ringen bevonden”, aldus Leviev.

“Dit was zeer verrassend, aangezien de VBS-functies van Microsoft in 2015 werden aangekondigd. Dat betekent dat het downgrade-aanvalsoppervlak dat ik ontdekte al bijna tien jaar bestaat.”

Thijs Van der Does