image

Windows kwetsbaar voor downgrade-aanval via Windows Update

donderdag 8 augustus 2024, 10:21 door Redactie, 4 reacties

Windows is kwetsbaar voor een downgrade-aanval, waarbij een aanvaller die toegang tot een systeem heeft via Windows Update aanwezige patches permanent kan verwijderen. Het besturingssysteem denkt na de aanval, die niet door beveiligingssoftware is te detecteren, dat het up-to-date is. Microsoft werkt aan updates voor de twee kwetsbaarheden, die worden aangeduid als CVE-2024-21302 en CVE-2024-38202.

De downgrade-aanval van onderzoeker Alon Leviev van securitybedrijf SafeBreach, die hij Windows Downdate noemt, bestaat uit twee kwetsbaarheden. Eén in de Windows Update Stack en één in de Windows Secure Kernel Mode. In beide gevallen gaat het om 'elevation of privilege' kwetsbaarheden, waarmee een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen.

Zodoende kan een gebruiker of aanvaller Windows Update de opdracht geven om eerder geïnstalleerde beveiligingsupdates te verwijderen. Zo is het mogelijk om kwetsbare DLL-bestanden, drivers en kernelversies op een eerder up-to-date versie van het besturingssysteem te installeren. De aanval is volgens Leviev niet te detecteren door endpoint detection en response oplossingen of recovery en scanning tools. Daarnaast is de aanval ook niet zichtbaar en permanent, waardoor uitgevoerde downgrades blijvend zijn.

Microsoft werd in februari van dit jaar over de problemen ingelicht en bracht gisteren twee beveiligingsbulletins uit. Daarin staat dat het techbedrijf aan beveiligingsupdates werkt om de twee kwetsbaarheden te verhelpen. Wanneer Microsoft de patches beschikbaar maakt is niet bekend. Wel geeft het techbedrijf verschillende acties die beheerders kunnen uitvoeren om het risico op misbruik te beperken.

Reacties (4)
08-08-2024, 11:58 door Anoniem
Dat is lekker zeg. Toch niet als gewone gebruiker toch hoop ik ?
08-08-2024, 13:28 door Anoniem
Door Anoniem: Dat is lekker zeg. Toch niet als gewone gebruiker toch hoop ik ?
Nope, of je moet Admin access hebben of je moet iemand met Admin access in de maling zien te nemen.
08-08-2024, 13:42 door Anoniem
Op veel Android telefoons is er fallback-protection, althans, in ieder geval op mijn Pixel met GrapheneOS.
Voor de resr gebruik ik GNU+Linux, ik weet of dat daar ook zo is, vandaar dat ik oa. de network stack altijd isoleer. (QubesOS)
08-08-2024, 16:20 door Anoniem
@13.28 helaas is EoP op Windows vaak ook niet zo moeilijk aangezien er nog de nodige software is waarbij je via DLL Planting/Hijacking en/of symlink abuse SYSTEM kan verkrijgen...

De enige complicerende factor is dan de endpoint protection software.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.