Da ist der Party-Crasher: Drei Zero-Day-Bugs in Windows veröffentlicht

Von Christian Kahle am 23.05.2019 08:09 Uhr
18 Kommentare
Für die Microsoft-Mitarbeiter in Redmond und anderswo hätte es eine rundum gelungene Zeit werden können, in der endlich mal ein glattes Release eines Windows-Updates durchläuft. Aber natürlich musste noch irgendwer kommen und die Stimmung zumindest ein bisschen verderben, indem Exploits mehrerer bisher ungepatchter Schwachstellen gepostet wurden.

Die Veröffentlichung detaillierter Informationen zu so genannten Zero-Day-Lücken ist aus Sicht eines Unternehmens kein besonders netter Zug. Normalerweise wenden sich verantwortungsbewusste Sicherheitsforscher erst einmal an den Hersteller und lassen diesem Gelegenheit einen Patch bereitzustellen, damit die Nutzer nicht komplett ungeschützt sind.

Eine Person, die bisher nur unter dem Pseudonym SandBoxEscaper bekannt ist, agiert aber anders: Die Exploit-Codes, an denen die Ausnutzung von Schwachstellen in Windows 10 demonstriert wird, hatte er schon mehrfach ohne vorherigen Kontakt zu Microsoft ins Netz gestellt. Und jetzt kam von ihm gleich eine Serie von drei verschiedenen Sicherheitslücken an die Öffentlichkeit, für die Microsoft nun erst einmal Patches entwickeln muss, wie aus einem Bericht von Ars Technica hervorgeht.

In den ersten beiden Fällen handelt es sich um klassische, so genannte Privilege-Escalation-Vulnerabilities, mit denen ein Angreifer seinem Code zu wesentlich weitergehenden Rechten auf einem System verhelfen kann. Im ersten Fall wird hierfür ein Fehler im Windows Task Scheduler ausgenutzt, über den man zu System-Rechten kommt. Eine Malware erhielte so grenzenlose Freiheit auf dem Zielrechner. Der zweite Angriffsvektor verläuft über den Windows Error Reporting-Dienst und erlaubt es dem Code, Dateien zu modifizieren, die normalerweise gegen Zugriffe abgeschirmt sind.

Windows 10: Alle Neuheiten des Mai 2019 Update (1903) im Überblick
videoplayer

Und einmal Sandbox bitte...

Der dritte, gestern veröffentlichte Exploit greift den Internet Explorer 11 an. Die Schwachstelle ermöglicht es einem Angreifer JavaScript-Code auszuführen, der einen wesentlich weiterreichenden Zugriff auf das attackierte System bekommt, als es die Browser-Sandbox eigentlich zulassen dürfte.

Positiv ist hier anzumerken, dass es SandboxEscaper kaum darum gehen dürfte, anderen zu schaden. Zwar hält er sich nicht an die üblichen Vorgehensweisen einer verantwortungsvollen Veröffentlichung, doch stellt er seine Beispiel-Exploits direkt auf Microsofts eigener Entwickler-Plattform GitHub bereit. Das von ihm praktizierte Verfahren des so genannten Full Disclosure, bei dem die Informationen direkt öffentlich gemacht werden, dient oft dem Zweck, die Software-Hersteller schneller zum Handeln zu bewegen. Es stellt eine Reaktion auf die Unart einiger Anbieter dar, viel zu lange keine Patches zu veröffentlichen, obwohl ihnen die Informationen übermittelt wurden. Microsoft hingegen reagiert in der Regel relativ zügig - und wenn die hier beschriebenen Lücken geschlossen werden, berichten wir natürlich.

Darüber hinaus seien Nutzer älterer Windows-Versionen auf unsere Update-Packs verwiesen. In diesen bieten wir die Patches, die von Microsoft für Windows 7 und Windows 8.1 bereitgestellt werden, in einem Gesamtpaket an.

Siehe auch: Zero-Day: Drittanbieter startet inoffiziellen Patch für Internet Explorer

Download Windows 10: Kumulativer Patch für das Mai-Update
18 Kommentare lesen & antworten
whatsapp
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
Windows 10
Desktop-Version anzeigen
Hoch © 2020 WinFuture Impressum Datenschutz Cookies