Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Unerwünschte Windows-Downgrades möglich

- Warnmeldung

Ein Sicherheitsunternehmen stellt fest, dass Angreifende Windows auf eine niedrigere Version downgraden könnten. In Folge würden sich alten Schwachstellen und Angriffsflächen öffnen. Das hätte weitreichende Auswirkungen für betroffene Systeme.
Bildschirm mit Logos der Office-Programme von Microsoft

© monticellllo - stock.adobe.com

Downgrades machen Systeme verwundbar

Das Cybersicherheitsunternehmen SafeBreach Labs hat ein Programm entwickelt, das angeblich ermöglicht, Windows-Systeme downzugraden. Das Entwickler-Team nennt das Tool Windows Downdate. Aus einem sicheren Windows-System könne so ein anfälliges, verwundbares System werden. Trotzdem melde das Betriebssystem, auf dem aktuellen Stand zu sein und dass deshalb kein Update möglich sei. Auch Scanner zeigen keine Auffälligkeiten.

Laut SafeBreach Labs gelangen durch das Downgrade viele Sicherheitslücken zurück in die Systeme. Dadurch vergrößere sich die Angriffsfläche beträchtlich. Die Folgen können erheblich sein.

SafeBreach informierte Microsoft über die Erkenntnisse bereits im Februar 2024. Microsoft eröffnete dazu die folgenden CVEs:

  • CVE-2024-38202: Windows Update Stack Elevation of Privilege
  • CVE-2024-21302: Windows Secure Kernel Mode Elevation of Privilege

Über diese beiden Schwachstellen können Angreifende ihre Berechtigungen erhöhen. Der zugewiesene CVSS-Score von 7.3 (Base) bzw. 6.9 (Temporal) spiegelt den Ernst der Downgrade-Möglichkeit jedoch nicht wider.

Nach eigenen Angaben arbeitet Microsoft an einer Lösung. Eine Ausnutzung mit dieser Vorgehensweise ist bislang nicht bekannt. Voraussetzung für eine mögliche Ausnutzung sind Administrator-Rechte.

Handlungsempfehlungen

Patches, die die beschriebenen Probleme beheben sollen, befinden sich bei Microsoft noch in der Testphase. Bis zur ihrer Veröffentlichung empfiehlt Microsoft folgende Maßnahmen, die die Sicherheitslücken zwar nicht entschärfen, aber das Risiko einer Ausnutzung verringern:

  • Zu CVE-2024-38202:
    • Überwachen Sie den Zugriff auf Dateien, die z. B. zur Erstellung von Handles, für Lese‑/Schreibvorgänge oder für Änderungen an Sicherheitsdeskriptoren genutzt werden können.
    • Überwachen Sie Nutzende mit Backup- und Restore-Berechtigungen.
    • Beschränken Sie den Zugriff auf Backup-Dateien. Überwachen Sie die Dateien auf unbefugte oder verdächtige Änderungen.
    • Überwachen Sie Berechtigungen, die das Ändern oder das Ersetzen von Backup-Dateien ermöglichen.
  • Zu CVE-2024-21302:
    • Überwachen Sie den Zugriff auf kritische Dateien und die Nutzung sensibler Berechtigungen.
    • Überwachen Sie Berechtigungen, die das Ändern oder das Ersetzen von Backup-Dateien ermöglichen.
    • Prüfen Sie Active Directory auf verdächtige Aktivitäten.

Weitere Informationen