Onderzoeker vindt downgradekwetsbaarheid in Windows Update

Een beveiligingsonderzoeker van SafeBreach heeft een kwetsbaarheid gevonden in Windows Update, waardoor delen van het besturingssysteem gedowngraded kunnen worden. Zo kunnen kwaadwillenden eerder gepatchte kwetsbaarheden alsnog misbruiken.

De beveiligingsonderzoeker maakte een Windows Downdate-tool om aan te tonen dat de kwetsbaarheden te misbruiken zijn. Die tool downgradet onder meer Windows 10 en 11 'onzichtbaar en onomkeerbaar', waarbij ook Windows Update denkt dat er geen beveiligingsupdates meer zijn om te downloaden. De tool downgradet onder meer dll's, drivers en de NT-kernel.

Microsoft zegt dat om de Downdate-tool te gebruiken, er misbruik wordt gemaakt van twee kwetsbaarheden in Windows: CVE-2024-21302 en CVE-2024-38202. Voor de 38202-kwetsbaarheid moeten aanvallers een admingebruiker ervan overtuigen een system restore uit te voeren, om de kwetsbaarheid te kunnen gebruiken. Het bedrijf zegt aan een oplossing te werken, maar zegt ook dat het om een 'ingewikkelde' situatie gaat waar veel testwerk voor nodig is. Microsoft Defender for Endpoint moet de exploit inmiddels ook kunnen herkennen en gebruikers kunnen waarschuwen.

Reacties (31)

Retonator 8 augustus 2024 22:20

Het is goed om te beseffen dat in een modern Windows install local admin niet toegang geeft tot alles in een systeem (geheugen van bepaalde processen zijn privileged). Technieken zoals VBS (virtualization based security) en credential guard zorgen er voor dat je hier zelf als local admin niet bij kunt. Er zijn verschillende levels van isolation in een moderne kernel. Hier als referentie een stukje over credential guard

Malware running in the operating system with administrative privileges can't extract secrets that are protected by VBS

Als je het hele onderzoek leest dan zie je dat deze aanval het mogelijk maakt om zelf tot hyper-v level -1 kunt komen, door een downgrade te doen van componenten die kwetsbaar zijn voor een privilege escalation naar dat niveau. Je kunt met deze aanval dus weer bv TGTs en hashes uit memory halen (voorheen zaten die in lsass nu in credential guard).

[Reactie gewijzigd door Retonator op 8 augustus 2024 22:29]

Terrestrial 8 augustus 2024 20:21

Wat is dit voor vaag verhaal, als ik toch een update er af gooi en windows update uitzet of blokkeer of whatever dan ben je altijd kwetsbaar. Bij eigen keus wel te verstaan. Maar om dit te kunnen doen zul je toch eerst toegang tot het systeem moeten hebben en alleen beheerders mogen updates verwijderen, en als je al toegang hebt is kwetsbaarheid niet echt een issue meer denk ik.

rko4u @Terrestrial • 8 augustus 2024 20:33

Veel thuisgebruikers en een grote groep professionals zijn local administrator. Als je die een trojan binnen zou laten halen, is dit dus af te dwingen. Helaas zijn de hackers vaak slimmer dan de gebruiker. Dit artikel lijkt niet te gaan om een downgrade die u zelf doet, maar over software die je system restore de verkeerde versies laat neerzetten.

Terrestrial @rko4u • 8 augustus 2024 20:38

Maar dan moet je nog steeds toegang hebben tot het systeem en als je al local admin bent waar heb je die kwetsbaarheid dan nog voor nodig? De rechten hoef je niet meer te eleveren dan.

dasiro @Terrestrial • 8 augustus 2024 22:18

simpel scenario: malware infecteert een up to date windows 11 en geeft een bluescreen, user vraagt hulp aan admin die een system restore uitvoert, waardoor het nu nog verder gedowngrade kan worden tot iets wat nog veel onveiliger is, terwijl WU en het OS denken dat het volledig bijgewerkt en zo veilig als mogelijk is (er zijn immers geen nieuwe updates meer te vinden).

Aldy @Terrestrial • 9 augustus 2024 14:31

Waarom je die kwetsbaarheid nodig hebt staat duidelijk in het artikel: Definitieve toegang door gerepareerde bugs weer te activeren en ervoor te zorgen dat er geen nieuwe updates worden geïnstalleerd.

Cowamundo @Terrestrial • 8 augustus 2024 21:49

Als je geen admin rechten hebt, en iemand wel weet te overtuigen iets te downloaden wat zich ergens nestelt.
De user (waar jij nog steeds geen toegang toe hebt) een restore doet. Wordt het systeem “terug de tijd” in en vast gezet kwa updates. Hierdoor worden kwetsbaarheden waar vaak al een POC voor openbaar is weer bruikbaar, en pas dan kun je admin rechten verkrijgen via die oude kwetsbaarheden.

Accretion @Cowamundo • 8 augustus 2024 22:17

Kan je als niet-admin een restore uitoefenen dan?
Lijkt me ergens ook raar.

Noxious @Accretion • 9 augustus 2024 07:05

Nee, daarom staat er ook in het artikel:

Voor de 38202-kwetsbaarheid moeten aanvallers een admingebruiker ervan overtuigen een system restore uit te voeren, om de kwetsbaarheid te kunnen gebruiken.

Cowamundo @Terrestrial • 9 augustus 2024 00:02

Via deze weg toegang verkrijgen is wel wat uitdagend, Ik hoop dat er maar weinig admins zijn die zich door een ander laten overhalen zomaar een restore te doen of bestanden over te nemen. Maar het kan ook de thuis pc van een minder IT onderlegde medewerker zijn via wie ze langzaam stapje voor stapje dieper in bedrijfssystemen komen en rechten verkrijgen. En “full admin” is echt niet altijd het doel, als je alleen al via een bepaald adres kan mailen kun je denk ik al een hoop geld buitmaken.

kuurtjes @Terrestrial • 8 augustus 2024 22:42

Je kan deze exploit misbruiken om als Admin de SYSTEM rechten te krijgen. Voorbeeld:
1. Rol Windows update KB5034763 en/of KB5034765 terug
2. Exploit CVE-2024-21338
3. ???
4. Profit

Admin krijgen op een systeem is ondertussen zo gemakkelijk dat bijna elke hacker er wel een exploit voor heeft. SYSTEM rechten daarintegen zijn zeer gewild omdat je dan kan doen wat je wilt en belangrijker, kan verstoppen wat je wilt.

Deze post is nieuwswaardig omdat dit een vrij unieke exploit is. Ik heb in ieder geval nog nooit een security patch downgrade aanval gezien die ook nog eens onzichtbaar is.

Retonator @kuurtjes • 8 augustus 2024 22:52

Zelfs SYSTEM geeft je niet alles. Moderne Windows kernels gebruiken virtualization technieken zoals VBS(virtualization based security) om bepaalde processen die bijvoorbeeld secrets als TGTs of hashes beschermt in gescheiden virtualization laag draaiende op hyper-v als hypervisor. Maar je kan dus ook een exploit zoeken die je zelfs die privileges geeft.

Marctraider @Retonator • 9 augustus 2024 11:06

Niks geeft je niks als je niet weet hoe. Ik zet al die performance hitting meuk uit, en kijk per security feature wat wel en niet waard is.

Aangezien mijn W11 LTSC installatie voor het grote gedeelte van internet geisoleerd is, op core networking na (en wat ik er zelf doorlaat), is eigenlijk bepaalde exploit mitigation voor bv mn browsers een beetje het enige interessante.

Ryunoru @Terrestrial • 8 augustus 2024 20:47

Dit gaat om een kwetsbaarheid waardoor kwaadwillenden een systeem kunnen downgraden. Niet om de doelbewuste keuze om geen updates in te schakelen o.i.d. Totaal verschillende scenarios.

Terrestrial @Ryunoru • 8 augustus 2024 21:04

Denk er even over na. Kwaadwillende kunnen alleen een systeem downgraden als ze beheerders rechten hebben maar als je dat al hebt waarom zou je dan nog downgraden? Je kan immers alles al.

En ook als een reguliere gebruiker per ongeluk een stukje software met trojan uitvoert in de userspace en die probeert de updates te verwijderen zal die meteen om beheerders rechten vragen. En als de user die dan ingeeft, kun je net zo goed meteen de trojan met admin rechten laten draaien, hoef je al die moeite verder niet te doen.

Admiral Freebee

@Terrestrial • 8 augustus 2024 21:46

Kwaadwillende kunnen alleen een systeem downgraden als ze beheerders rechten hebben

Dat is niet helemaal juist. In dit geval moet een proces zonder admin rechten een user met de juiste rechten verleiden om een system restore uit te voeren waar een kwetsbaarheid dat proces toestaat om meer rechten te krijgen en zo een downgrade uit te lokken en uiteindelijk op die manier andere kwetsbaarheden te gaan gebruiken dankzij het verwijderen van de patch hiervoor.

Denk aan een handig tooltje dat je ineens paniekerig verteld dat er een virus gevonden is maar dat je alles mooi kan herstellen door nu een systeem restore uit te voeren. Onwetende gebruiker volgt de instructies en ineens kan dat tooltje wat updates verwijderen en een niet langer gepatchte kwetsbaarheid gebruiken om volledige rechten te verkrijgen.

Ja, er is user interaction nodig maar het is wel een extra mogelijkheid om binnen te geraken. De gebruiker voelt immers niet dat hij iets gevaarlijk doet door de Windows system restore functie te gebruiken.

Terrestrial @Admiral Freebee • 8 augustus 2024 23:21

Als je een system restore uitvoert is de trojan toch ook meteen weg dus dat heeft geen zin. Om een system restore uit te voeren heb je wederom beheerders rechten nodig, dus moet je admin credentials opgeven. Als je die aan de trojan opgeeft is het hele verdere proces ook niet nodig.

Cowamundo @Terrestrial • 9 augustus 2024 00:13

De trojan is dan misschien wel weg. Maar het systeem is in een onveilige en verouderde status en krijgt geen updates meer. Vanaf dit punt kun je oude kwetsbaarheden gebruiken om bv wel volledig toegang te krijgen.

Geen idee hoe deze aanpassing precies werkt maar als jij net genoeg rechten hebt om een paar bestanden aan te passen en hierdoor afwijkend gedrag kan veroorzaken in het os, dat ook nog eens niet door een defender wordt gezien als verdacht patroon/handeling is dat toch een slimme nieuwe weg naar binnen.

Dat er een restore gedaan moet worden voor het echt lukt is natuurlijk wel een uitdaging om de gebruiker te laten uitvoeren.

Terrestrial @Cowamundo • 10 augustus 2024 09:26

Hoezo krijg je geen updates meer? Volgens mij gaat die gewoon bijwerken en updaten en nogmaals de trogjan is weg dus die houd niks tegen. Bovendien is het helemaal niet gezegd dat een system restore zodanig oud is dat je updates mist.

Dus nogmaals, de kans dat dit in het voordeel van malware uitpakt is nihil. Ik lees hier allerlei reacties maar niemand kijkt verder dan de neus lang is.

Cowamundo @Terrestrial • 10 augustus 2024 10:53

Staat in het artikel

Die tool downgradet onder meer Windows 10 en 11 'onzichtbaar en onomkeerbaar', waarbij ook Windows Update denkt dat er geen beveiligingsupdates meer zijn om te downloaden.

[Reactie gewijzigd door Cowamundo op 10 augustus 2024 10:54]

Terrestrial @Cowamundo • 10 augustus 2024 11:29

Kan niet want daar heb je toch die admin rechten voor nodig en als je die hebt waarom zou je dan al die moeite doen om een kwetsbaarheid proberen te benutten om verdere rechten te krijgen. Het is letterlijk een kip-ei situatie

Zoals de informatie op tweakers gepresenteerd wordt is die kwetsbaarheid niet bruikbaar.

LollieStick @Terrestrial • 9 augustus 2024 06:14

Was het niet zo dat we, ik dacht in januari een update hadden die regelmatig de mist in ging omdat de recovery partitie te klein was? Een workaround was dan om deze met de hand te vergroten. In deze context lijkt het me dan dat het recovery image ook gelijk bijgewerkt wordt bij het installeren van een update.

DeTeraarist @Terrestrial • 8 augustus 2024 21:46

En wat moet je volgende week dan, als de nieuwe updates zijn uitgerold en je backdoor naar je admin rechten is gepatched?

Locke_

@Terrestrial • 8 augustus 2024 20:28

Zoals ik het begrijp doet deze kwetsbaarheid dit op de achtergrond en is het onomkeerbaar. Hierdoor denkt de gebruiker dat het systeem bijgewerkt en veilig is, terwijl dat niet zo is.

Jean luc Picard 8 augustus 2024 20:52

Volgens mij heeft iedereen, die systemen heeft met local admins system restore wel standaard uitstaan.

Bsod, laatste image terug!

Robbierut4 @Jean luc Picard • 8 augustus 2024 20:59

Oprechte vraag, waarom zou je system restore uit zetten?

Jean luc Picard @Robbierut4 • 8 augustus 2024 21:18

Omdat er zoveel kapot gaat, waaronder vaak dcom settings.
En vaak dingen toch niet werken, zoals gebruiker gewend is. Debuggen na restore kost te veel tijd en is geen garantie dat alles 100% werkt als voorheen. Jongens/klant installeren ondersteunde apps. Als deze goed werken installeer ik dit ook op de master machine. Ps heb hier wel met profs te maken niet gem. Kantoor personeel.

[Reactie gewijzigd door Jean luc Picard op 8 augustus 2024 21:25]

Marctraider @Robbierut4 • 9 augustus 2024 11:10

Vertrouw serieus niet zo'n functie als dit. Fatsoenlijke imaging software los van je OS lijkt me een beter idee.

[Reactie gewijzigd door Marctraider op 9 augustus 2024 11:11]

gatlarf @Jean luc Picard • 8 augustus 2024 20:53

Ja, maar als het goed is, draai je daarna netjes je updates opnieuw.

Jean luc Picard @gatlarf • 8 augustus 2024 21:22

Uiteraard, maar ik maak gebruik van een master machine welke bij is. Image maken en terugzetten, max 30 minuten.
Maar dan ben ik wel 100% zeker dat mijn klant, collega weer meteen aan het werk kan zonder s..t.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (31)

Sorteer op:

Weergave: