SafeBreach-beveiligingsonderzoeker Alon Leviev onthulde op Black Hat 2024 dat twee zero-days konden worden misbruikt in downgrade-aanvallen om volledig bijgewerkte Windows 10-, Windows 11- en Windows Server-systemen te “ontpatchen” en oude kwetsbaarheden opnieuw te introduceren.

Microsoft heeft adviezen uitgebracht over de twee niet-gepatchte zero-days (opgespoord als CVE-2024-38202 en CVE-2024-21302) in coördinatie met de Black Hat-presentatie, waarbij mitigeringsadviezen werden gegeven totdat een oplossing is uitgebracht.

Bij downgrade-aanvallen dwingen dreigingsactoren een up-to-date doelwitapparaat om terug te gaan naar oudere softwareversies, waardoor kwetsbaarheden opnieuw worden geïntroduceerd die kunnen worden misbruikt om het systeem te compromitteren.

SafeBreach-beveiligingsonderzoeker Alon Leviev ontdekte dat het Windows-updateproces kon worden gecompromitteerd om kritieke OS-componenten te downgraden, waaronder dynamische koppelingenbibliotheken (DLL’s) en de NT-kernel. Ondanks dat al deze componenten nu verouderd waren, meldde het besturingssysteem bij controle met Windows Update dat het volledig bijgewerkt was, zonder dat herstel- en scantools problemen konden detecteren.

Door de zero-day kwetsbaarheden uit te buiten, kon hij ook Credential Guard’s Secure Kernel and Isolated User Mode Process en Hyper-V’s hypervisor downgraden om oude privilege-escalatiekwetsbaarheden bloot te leggen.

“Ik ontdekte meerdere manieren om Windows-virtualisatiegebaseerde beveiliging (VBS) uit te schakelen, inclusief functies zoals Credential Guard en Hypervisor-Protected Code Integrity (HVCI), zelfs wanneer deze met UEFI-vergrendelingen worden afgedwongen. Voor zover ik weet, is dit de eerste keer dat de UEFI-vergrendelingen van VBS omzeild zijn zonder fysieke toegang,” onthulde Leviev.

“Als gevolg hiervan kon ik een volledig gepatchte Windows-machine vatbaar maken voor duizenden oude kwetsbaarheden, waardoor gerepareerde kwetsbaarheden weer zero-days werden en de term ‘volledig gepatcht’ betekenisloos werd op elke Windows-machine ter wereld.”

Zoals Leviev zei, is deze downgrade-aanval ondetecteerbaar omdat deze niet geblokkeerd kan worden door eindpuntdetectie- en responsoplossingen (EDR) en is het ook onzichtbaar omdat Windows Update meldt dat een apparaat volledig bijgewerkt is (ondanks dat het gedowngraded is).

Geen patches na zes maanden

Leviev onthulde zijn “Windows Downdate” downgrade-aanval zes maanden nadat hij de kwetsbaarheden in februari bij Microsoft had gemeld als onderdeel van een gecoördineerd verantwoord openbaarmakingsproces.

Microsoft zei vandaag dat het nog steeds werkt aan een oplossing voor de Windows Update Stack Elevation of Privilege (CVE-2024-38202) en Windows Secure Kernel Mode Elevation of Privilege (CVE-2024-21302) kwetsbaarheden die Leviev gebruikte om privileges te verhogen, kwaadaardige updates te creëren en beveiligingsfouten opnieuw te introduceren door Windows-systeembestanden te vervangen door oudere versies.

Zoals het bedrijf uitlegt, stelt de CVE-2024-38202 Windows Backup privilege-escalatie kwetsbaarheid aanvallers met basisgebruikersrechten in staat om eerder gemitigeerde beveiligingsfouten te ‘ontpatchen’ of Virtualisatiegebaseerde beveiligingsfuncties (VBS) te omzeilen. Aanvallers met admin-rechten kunnen de CVE-2024-21302 privilege-escalatie tekortkoming misbruiken om Windows-systeembestanden te vervangen door verouderde en kwetsbare versies.

Microsoft zei dat het momenteel geen pogingen kent om deze kwetsbaarheid in het wild te misbruiken en adviseerde de aanbevelingen uit te voeren die vandaag in twee beveiligingsadviezen zijn gepubliceerd om het risico van uitbuiting te verminderen tot een beveiligingsupdate wordt uitgebracht.

“Ik kon laten zien hoe het mogelijk was om een volledig gepatchte Windows-machine vatbaar te maken voor duizenden oude kwetsbaarheden, waardoor gerepareerde kwetsbaarheden weer zero-days werden en de term ‘volledig gepatcht’ betekenisloos werd op elke Windows-machine ter wereld,” zei Leviev.

“Wij geloven dat de implicaties niet alleen significant zijn voor Microsoft Windows, het meest gebruikte desktopbesturingssysteem ter wereld, maar ook voor andere besturingssysteemleveranciers die mogelijk vatbaar zijn voor downgrade-aanvallen.”

Een woordvoerder van Microsoft was niet onmiddellijk beschikbaar toen BleepingComputer werd benaderd voor meer informatie over wanneer beveiligingsupdates beschikbaar zullen zijn.