Rootkits, die in der Lage sind, die Windows-Schutzmaßnahmen durch Downgrade von Updates zu umgehen

DER Rootkits stellen eine erhebliche Bedrohung für Windows-Systeme dar, da sie in der Lage sind, Sicherheitsupdates zu umgehen, indem sie eine bestimmte Schwachstelle ausnutzen. Diese Technik heißt Downgrade-Angriffermöglicht es Cyberkriminellen, auf frühere Versionen des Systems zurückzugreifen, wodurch Computer auch dann angreifbar werden, wenn sie auf dem neuesten Stand sind. Durch den Umgang mit Komponenten wie dem Windows-Kernel und das Umgehen von Sicherheitsfunktionen wie z Durchsetzung der Fahrersignaturkönnen Angreifer das System infiltrieren, Rootkits installieren und ihre böswilligen Aktivitäten verbergen und so die Integrität des Systems gefährden.

In der heutigen Cybersicherheitslandschaft stellen Rootkits weiterhin eine gewaltige Bedrohung für Betriebssysteme, einschließlich Windows, dar. Kürzlich wurde entdeckt, dass Rootkits eine Sicherheitslücke ausnutzen können, indem sie Sicherheitsupdates herabstufen und so integrierte Abwehrmaßnahmen selbst auf aktuellen Systemen umgehen. In diesem Artikel werden die Art dieser Sicherheitslücke, die Methoden, mit denen Angreifer sie ausnutzen können, und die Auswirkungen auf die Systemsicherheit untersucht.

Rootkits, die in der Lage sind, Windows-Schutzmaßnahmen zu umgehen

DER Rootkits sind hochentwickelte Malware-Programme, die sich tief im Betriebssystem verstecken und Hackern heimlichen Zugriff ermöglichen. Sie sind oft schwer zu erkennen, da sie die von ihnen am System vorgenommenen Änderungen verbergen können. Was Rootkits besonders gefährlich macht, ist ihre Fähigkeit, wichtige Sicherheitsfunktionen zu deaktivieren, sodass Cyberkriminelle ohne Wissen des Benutzers die Kontrolle über einen Computer übernehmen können.

Die jüngste Entdeckung von Alon Leviev, einem Cybersicherheitsforscher, verdeutlicht einen kritischen Fehler im Aktualisierungsprozess von Windows. Cyberkriminelle können Angriffstechniken nutzen, um angewendete Sicherheitsupdates rückgängig zu machen oder herabzustufen und so anfällige Komponenten wieder in das System einzuführen. Dies ebnet den Weg für die Ausführung von Rootkits in der Lage, Abwehrmechanismen zu umgehen, z Durchsetzung der Fahrersignatur (DSE).

Der Prozess des Downgrades von Windows-Updates

Die Schwachstelle liegt in der Manipulationsfähigkeit der Angreifer Windows-Update und ersetzen Sie aktuelle Komponenten durch veraltete und anfällige Versionen. Durch die Ausnutzung dieses Fehlers kann ein scheinbar aktuelles System augenblicklich angreifbar werden. Besonders besorgniserregend ist, dass Hacker dadurch kritische Sicherheitsmaßnahmen umgehen können, ohne sichtbare Spuren zu hinterlassen.

So funktioniert die Durchsetzung der Fahrersignatur

Die Funktionalität Durchsetzung der Fahrersignatur in Windows spielt eine entscheidende Rolle dabei, sicherzustellen, dass nur Treiber mit einer gültigen digitalen Signatur geladen werden können. Dadurch wird verhindert, dass potenziell schädliche Software auf Kernel-Ebene geladen wird. Leider können Angreifer durch Umgehung dieser Maßnahme nicht signierte Treiber zur Installation laden Rootkits, was die Sicherheit des Systems ernsthaft gefährdet.

Das Windows-Downdate-Tool

Leviev demonstrierte die Wirksamkeit dieses Angriffs mit einem von ihm entwickelten Tool namens Windows-Update. Dieses Tool unterstreicht die Leichtigkeit, mit der kritische Windows-Komponenten ausgetauscht oder heruntergestuft werden können, selbst wenn das System geschützt werden soll. Eine der von ihm beschriebenen Angriffstechniken nutzt die Dateischwachstelle

ci.dll

Sicherheitsregeln zu umgehen.

Herausforderungen der virtualisierungsbasierten Sicherheit (VBS)

Dort Virtualisierungsbasierte Sicherheit (VBS) ist eine weitere Verteidigungsebene, die wesentliche Elemente wie den Kernel-Code-Integritätsmechanismus schützen soll. Bestimmte Konfigurationen können jedoch ausgenutzt werden, um diesen Schutz zu deaktivieren, sobald Dateien wie

SecureKernel.exe

werden ersetzt, was das Downgrade kritischer Komponenten erleichtert.

Bemühungen und Antworten von Microsoft

Obwohl Microsoft einige der wichtigsten Schwachstellen im Zusammenhang mit diesen Angriffen identifiziert und bereits Patches für einige wichtige Exploits (CVE-2024-21302 und CVE-2024-38202) veröffentlicht hat, bleibt die Herausforderung erheblich. Es erfordert nicht nur eine genaue Identifizierung möglicher Angriffsvektoren, sondern auch eine kontinuierliche Aktualisierung, um sicherzustellen, dass der Prozess abläuft Windows-Update kann nicht durch unbefugte Personen kompromittiert werden.

Vergleich von Rootkits mit Windows Update Downgrade