Umgehung der Windows-Treibersignatur
- Angreifer können Windows-Kernel-Komponenten downgraden, um Sicherheitsfunktionen wie die Erzwingung der Treibersignatur zu umgehen und Rootkits auf vollständig gepatchten Systemen zu installieren.
- Durch die Kontrolle des Windows-Update-Prozesses können auf aktuellen Systemen veraltete, verwundbare Softwarekomponenten eingeführt werden.
Windows-Downgrade
- Der SafeBreach-Sicherheitsforscher Alon Leviev meldete ein Problem bei den Update-Argumenten, doch Microsoft ignorierte es mit der Begründung, es überschreite keine Sicherheitsgrenze.
- Leviev demonstrierte auf den Sicherheitskonferenzen BlackHat und DEFCON, dass der Angriff möglich ist; das Problem ist weiterhin nicht behoben.
- Der Forscher stellte ein Tool namens Windows Downdate vor, mit dem sich benutzerdefinierte Downgrades erstellen lassen, um bereits behobene Schwachstellen über veraltete Komponenten erneut angreifbar zu machen.
- Leviev zeigte, dass sich die Funktion Driver Signature Enforcement (DSE) umgehen lässt, um unsignierte Kernel-Treiber zu laden und Rootkit-Malware zu verbreiten, die Sicherheitskontrollen deaktiviert.
Ausrichtung auf den Kernel
- Leviev erklärte, wie sich der Windows-Update-Prozess missbrauchen lässt, um den DSE-Schutz zu umgehen.
- Durch den Austausch der Datei
ci.dll gegen eine ungepatchte Version lassen sich Treibersignaturen ignorieren und die Schutzprüfungen von Windows umgehen.
- Dieser Austausch wird durch Windows Update ausgelöst und nutzt eine Double-Read-Bedingung aus, bei der Windows die aktuelle Kopie prüft, während gleichzeitig eine verwundbare Kopie von
ci.dll in den Speicher geladen wird.
- Außerdem wurde beschrieben, wie sich VBS (Virtualization-Based Security) deaktivieren oder umgehen lässt.
Zusammenfassung von GN⁺
- Dieser Artikel beschreibt, wie sich eine Sicherheitsschwachstelle in Windows-Systemen ausnutzen lässt, um die Erzwingung der Treibersignatur zu umgehen und Rootkits zu installieren.
- Diese Angriffe werden möglich, indem der Windows-Update-Prozess missbraucht wird, um gepatchte Komponenten per Downgrade zu ersetzen.
- Das unterstreicht, dass Sicherheitstools Downgrade-Vorgänge genau überwachen sollten, auch wenn dabei formell keine kritische Sicherheitsgrenze überschritten wird.
- Als weitere Sicherheitstools mit ähnlicher Funktionalität werden EDR-Lösungen (Endpoint Detection and Response) empfohlen.
1 Kommentare
Hacker-News-Kommentare
MS behauptet, dass UAC keine Sicherheitsgrenze sei. Die Erzwingung der Treibersignatur sei zwar eine Sicherheitsfunktion, in diesem Fall werde jedoch behauptet, dass keine Sicherheitsgrenze überschritten werde.
Ein Nutzer meint, es fehle an einem konzeptionellen Modell dafür, warum Windows anfällig für Angriffe ist.
Ein Nutzer mit Administratorrechten kann beliebige Aktionen auf dem Computer ausführen. Ein Nutzer fragt sich, ob es subtile Unterschiede gibt, die die Schwere dieses Angriffs erhöhen.
Ein Kommentar hält es für schwer glaubhaft, dass Microsoft trotz einer Demo widerspricht. Auf dem Vimeo-Konto gibt es viele weitere Sicherheitsfunde.
Mit Administratorrechten kann Root Kernel-Code ausführen und ein Rootkit installieren. Der Forscher hat ein Tool namens Windows Downdate vorgestellt.
Unter Windows und Linux ist ein lokales Konto mit normalen Rechten praktisch gleichbedeutend mit Root. Es gibt Meinungen zu den Unterschieden zwischen UAC und sudo sowie dazu, dass es besser wäre, in der Standardkonfiguration beide zu entfernen.
Der Kernel erzwingt Regeln für Dateifreigaben, prüft aber keine kollidierenden Berechtigungen für Memory-Mapping. Linux hat Mandatory Locking entfernt.
Der Angriff ist verdächtig einfach. Der Update-Prozess wird getäuscht, um ältere Versionen verwundbarer Kernel-Komponenten zu installieren. Ein Kommentar meint, MS müsse dieses Problem bereits berücksichtigt haben.
Ein Nutzer erinnert sich an die Schwierigkeiten, als Microsoft die Treibersignatur verlangte. Alon Leviev und SafeBreach werden für die Entdeckung dieser Schwachstelle gelobt.
Es gibt die Meinung, dass man Windows 11 manipulieren kann, um ein besseres OS daraus zu machen, der Fokus hier aber auf Rootkits liegen sollte.