Windows kwetsbaar voor downgrade-aanval via Windows Update
Windows is kwetsbaar voor een downgrade-aanval, waarbij een aanvaller die toegang tot een systeem heeft via Windows Update aanwezige patches permanent kan verwijderen. Het besturingssysteem denkt na de aanval, die niet door beveiligingssoftware is te detecteren, dat het up-to-date is. Microsoft werkt aan updates voor de twee kwetsbaarheden, die worden aangeduid als CVE-2024-21302 en CVE-2024-38202.
De downgrade-aanval van onderzoeker Alon Leviev van securitybedrijf SafeBreach, die hij Windows Downdate noemt, bestaat uit twee kwetsbaarheden. Eén in de Windows Update Stack en één in de Windows Secure Kernel Mode. In beide gevallen gaat het om 'elevation of privilege' kwetsbaarheden, waarmee een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen.
Zodoende kan een gebruiker of aanvaller Windows Update de opdracht geven om eerder geïnstalleerde beveiligingsupdates te verwijderen. Zo is het mogelijk om kwetsbare DLL-bestanden, drivers en kernelversies op een eerder up-to-date versie van het besturingssysteem te installeren. De aanval is volgens Leviev niet te detecteren door endpoint detection en response oplossingen of recovery en scanning tools. Daarnaast is de aanval ook niet zichtbaar en permanent, waardoor uitgevoerde downgrades blijvend zijn.
Microsoft werd in februari van dit jaar over de problemen ingelicht en bracht gisteren twee beveiligingsbulletins uit. Daarin staat dat het techbedrijf aan beveiligingsupdates werkt om de twee kwetsbaarheden te verhelpen. Wanneer Microsoft de patches beschikbaar maakt is niet bekend. Wel geeft het techbedrijf verschillende acties die beheerders kunnen uitvoeren om het risico op misbruik te beperken.
Voor de resr gebruik ik GNU+Linux, ik weet of dat daar ook zo is, vandaar dat ik oa. de network stack altijd isoleer. (QubesOS)
De enige complicerende factor is dan de endpoint protection software.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
GRC Officer
Als digitaal knooppunt hebben wij te maken met veel verschillende opdrachtgevers en klanten in het zorgveld. Deze opdrachtgevers en klanten vertrouwen erop dat de onze dienstverlening veilig is en continu voldoet aan alle (voortdurende wijzigende) relevante wet- en regelgeving. Als GRC Officer ben jij op de hoogte van die wet- en regelgeving en weet je de vertaalslag te maken naar de praktijk van VECOZO.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.