Jetzt auch mobil Kommentieren!

Google-Sicherheitsexperte legt fast 20 Jahre alte Windows-Lücke offen

Von Roland Quandt am 14.08.2019 12:12 Uhr
8 Kommentare
Ein bekannter Sicherheitsexperte, der für Google tätig ist, hat eine seit Jahrzehnten bestehende Schwachstelle im sogenannten CTF-Protokoll von Microsoft offengelegt, die praktisch alle seit Windows XP erschienenen Versionen des Betriebssystems betrifft. Die Lücke in der grundlegenden Windows-Komponente könnte von Angreifern ausgenutzt werden, um Daten zu stehlen und Anwendungen bestimmte Kommandos zu geben.

Wie Tavis Ormandy, der für Googles Siherheits-Team Project Zero tätig ist, in einem Blog-Eintrag erklärte, besteht in dem nur als CTF bekannten Protokoll schon seit den Zeiten von Windows XP eine Schwachstelle, dank der ein Angreifer praktisch jede App "übernehmen" könnte, darunter auch Programme mit vielen Rechten oder gar das gesamte Betriebssystem. Das Problem besteht darin, dass CTF ganz ohne jedwede Sicherung gegen Fremdzugriffe daherkommt. Microsoft hat das Problem nach eigenen Angaben mit Veröffentlichung der Sicherheits-Updates zum Patch-Day für den August 2019 behoben.

CTF steuert Umgang mit Text in Windows

Wie Ormandy zu seiner Entdeckung ausführt, wird CTF, zu dem noch nicht einmal bekannt ist, wofür die Abkürzung steht, als Teil des sogenannten Windows Text Services Framework verwendet. Das Text Services Framework (TSF) ist für die Darstellung von Text in Windows und den darauf laufenden Programmen zuständig. Startet ein Nutzer ein Programm, startet Windows auch einen sogenannten CTF-Client für das Programm. Dieser erhält Instruktionen vom CTF-Servers, die Informationen über die Systemsprache und die zur Verfügung stehenden Eingabemethoden über die Tastatur enthalten.

Ändert sich die Eingabesprache, informiert der CTF-Server alle seine Clients, die dann in Echtzeit die Sprache für jede laufende Windows-Anwendung entsprechend ändern. Ormandy stellte nun aber fest, dass die Kommunikation zwischen dem CTF-Server und den diversen CTF-Clients in keiner Weise geschützt wird. Es finde keinerlei Zugriffskontrolle statt, so dass jede Anwendung, jeder Nutzer und selbst in einer Sandbox laufende Prozesse zu jedem beliebigen CTF-Client verbinden können. Dabei werden zwar Threads und Prozesse ausgetauscht, doch erfolge keinerlei Prüfung der dabei gemachten Angaben, so dass Angreifer diese Daten auch einfach fälschen könnten.

Hi-Jack von CTF-Sessions möglich

Im Grunde sei es daher möglich, dass Angreifer die CTF-Verbindung einer anderen Anwendung mit seinem Programm per "Hi-Jack" übernimmt, um dann Kommandos an diese Anwendung zu schicken, während er seine Schadsoftware als CTF-Server ausgibt - als der normalerweise das Betriebssystem selbst erwartet wird. Angeifer könnten auf diese Weise Daten abgreifen, oder andere Apps steuern. Sollten die so attackierten Apps mit vielen Privilegien laufen, könnte der daher auch die Kontrolle über den Rechner des Opfers erhalten, warnt Ormandy.

Seinen Angaben zufolge sorgt der allumfassende Einsatz von CTF dafür, dass praktisch alle Apps anfällig sind - weil es für jede laufende Anwendung und im Grunde alle Teile der Oberfläche von Windows auch eine CTF-Session gibt. In einem Video zeigte Ormandy auch, wie er die CTF-Session für den Anmeldebildschirm von Windows unter Windows 10 anzapfte, um nach Belieben Aktionen durchzuführen.

Wie schon in früheren Fällen, ging Ormandy noch weiter. Er veröffentlichte in einem Blog-Post ausführliche Informationen zu dem Problem und stellte sogar ein kleines Tool über GitHub zur Verfügung, mit dem Dritte das CTF-Protokoll auf weitere Lücken untersuchen können. Noch ist unklar, wie Microsoft auf die Entdeckungen des Google-Mitarbeiters reagieren will, zumal das Problem dann doch große Auswirkungen haben kann. Zwar können Angreifer damit nicht in die Rechner von unbedarften Opfern eindringen, doch ist es dank der Lücke sehr einfach, Admin-Rechte auf bereits infizierten Windows-Systemen zu erlangen.

Microsoft erklärte seinerseits, dass man die von Ormandy gemeldete Schwachstelle im Zuge des gestrigen Patch-Days für den August 2019 mit entsprechenden Patches beseitigt haben will. Die Schwachstelle und die dazugehörigen Fixes werden von Microsoft unter als CVE-2019-1162 dokumentiert. Noch ist offen, ob die jetzt veröffentlichten Patches ausreichen, um CTF ausreichend gegen Schwachstellen abzusichern, da das Prokotoll tief im System verankert ist. Neben Windows XP besteht die CTF-Lücke auch in alle seitdem erschienenen Windows-Versionen, inklusive Windows 7, Windows 8, Windows 8.1 und Windows 10 - es sei denn, man installiert die jüngsten Sicherheitsupdates von Microsoft.
whatsapp
Jede Woche neu: Top-News per E-Mail
8 Kommentare lesen & antworten
Verwandte Themen
Windows 10 Windows 8.1
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz