Auf der Black Hat USA-Konferenz 2024 präsentierte der SafeBreach-Forscher Alon Leviev einen Angriff, der eine Aktionslisten-XML-Datei manipuliert, um ein „Windows Downdate“-Tool zu pushen, das alle Windows-Überprüfungsschritte umgeht Vertrauenswürdiger Installer. Das Tool kann auch Windows manipulieren, um zu bestätigen, dass das System vollständig aktualisiert ist.

Der Windows Update-Prozess wurde zuvor kompromittiert. Das im Jahr 2023 veröffentlichte BlackLotus UEFI Bootkit umfasst Downgrade-Funktionen, die Schwachstellen in der Windows Update-Architektur ausnutzen. Ähnlich wie die von Leviev vorgestellte Methode führt das BlackLotus Bootkit ein Downgrade verschiedener Systemkomponenten durch, um die VBS-UEFI-Sperren zu umgehen. Ein Bedrohungsakteur kann dann „Zero-Day“-Angriffe mit Rechteausweitung auf ein zuvor aktuelles System ausführen. In einem Blogbeitrag auf SafeBreach erklärte Leviev: „Ich habe mehrere Möglichkeiten entdeckt, die auf Windows-Virtualisierung basierende Sicherheit (VBS) zu deaktivieren, einschließlich ihrer Funktionen wie Credential Guard und Hypervisor-Protected Code Integrity (HVCI), selbst wenn sie mit UEFI-Sperren erzwungen werden.“ Meines Wissens ist dies das erste Mal, dass die UEFI-Sperren von VBS ohne physischen Zugriff umgangen wurden.“

Leviev informierte Microsoft im Februar dieses Jahres über die Schwachstellen. Allerdings entwickelt Microsoft noch ein Sicherheitsupdate, um veraltete und ungepatchte VBS-Systeme zu widerrufen. Microsoft plant außerdem die Veröffentlichung eines Leitfadens, um „Kunden Abhilfemaßnahmen oder relevante Anleitungen zur Risikominderung zur Verfügung zu stellen, sobald diese verfügbar sind“. Da diese Angriffe laut Leviev nicht erkennbar und unsichtbar sind, ist Orientierung erforderlich. Um mehr zu erfahren oder den Exploit in Aktion zu sehen, besuchen Sie bitte die folgenden Ressourcen.