Google hat im Rahmen seines Project Zero eine weitere Sicherheitslücke in Windows 7 und 8.1 entdeckt und sie gemäß seiner Richtlinien nach einer Sperrfrist von 90 Tagen publik gemacht. Diesmal handelt es sich um einen Bug in der Speicherverschlüsselungsfunktion CryptProtectMemory. Entdeckt hat ihn James Forshaw, der auch schon ein inzwischen behobenes Rechteausweitungsproblem im User Profile Service von Windows 8.1 gefunden hatte. Dessen Bekanntmachung kurz vor Microsofts Patchday sorgte zuletzt für Streit zwischen beiden Unternehmen.
Forshaw beschreibt die neue Schwachstelle als „Impersonation Check Bypass„. Sie könne zu Problemen führen, wenn ein Dienst beispielsweise verschlüsselte Daten in einem für jedermann lesbaren geteilten Speicherbereich ablege.
„Bei Verwendung der Logon-Session-Option (CRYPTPROTECTMEMORY_SAME_LOGON flag) wird der Schlüssel auf Basis des Logon Session Identifier generiert, damit Speicher zwischen verschiedenen Prozessen mit demselben Logon geteilt werden kann. Während dies auch zum Versand von Daten von einem Prozess zu einem anderen genutzt werden könnte, ermöglicht es die Extrahierung der Logon Session ID aus dem Impersonation Token„, erläutert Forshaw. Bei Letzterem handelt es sich um ein Zugangs-Token, das erstellt wird, um Sicherheitsinformationen eines Client-Prozesses auszulesen, damit ein Server diesen Client-Prozess bei Sicherheitsoperationen nachahmen kann.
„Das Problem besteht darin, dass die Implementierung in CNG.sys nicht das Impersonation-Level des Tokens überprüft, wenn die Logon Session ID (mittels SeQueryAuthenticationIdToken) erfasst wird, sodass ein Standardnutzer sich auf Identifizierungsebene als jemand anderes ausgeben und Daten für diese Logon-Session ent- oder verschlüsseln kann“, so Forshaw weiter. „Allerdings könnte dieses Verhalten auch gewollt sein, selbst wenn es nicht Teil des Designs ist.“
Forshaw hat den Bug am 17. Oktober entdeckt, Microsoft konnte ihn bis zum 29. Oktober reproduzieren. Aufgrund von Kompatibilitätsproblemen war Microsoft jedoch nicht in der Lage, vor Ablauf von Googles Sperrfrist einen Patch bereitzustellen, sodass die Lücke nun veröffentlicht wurde. „Mirosoft hat uns darüber informiert, dass sie für den Januar-Patchday einen Fix geplant hatten, diesen aber wegen Kompatibilitätsproblemen zurückziehen mussten. Entsprechend ist der Fix nun mit den Februar-Patches zu erwarten“, schreibt Forshaw in einem Update zu seinem ursprünglichen Fehlerbericht.
Es ist bereits das zweite Mal innerhalb einer Woche, dass Google eine Windows-Lücke öffentlicht macht, obwohl Microsoft an der Behebung des Problems arbeitet und Google gebeten hat, die Offenlegung zu verschieben. Damit steigt die Gefahr, dass die Anfälligkeit vor Erscheinen eines Patches ausgenutzt wird.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
8 Kommentare zu Google macht weitere Windows-Sicherheitslücke öffentlich
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Gut so, MS muss halt ein bisschen mehr Gas geben, und sich um schnelleres Fixen von sicherheitsrelevanten Bugs kümmern, 3 Monate sind nun auch nicht wenig, und wenn der Bug bei MS bekannt ist, dann kennen ihn vermutlich auch die Dienste (zB von bei MS eingeschleusten eigenen Mitarbeitern). Nicht zuletzt ist das vielleicht auch eine absichtlich eingebaute Backdoor.
Und nun? Google braucht vier Wochen, um ein Problem in Ad-Sense zu stopfen, das Millionen von Rechnern gefährdet?
Entweder haben sie nicht reagieren wollen (Umsatz Weihnachtsgeschäft retten) ODER es nicht bemerkt (m.E. noch schlimmer!) ODER vier Wochen gebraucht, bis sie es fixen konnten (worst case szenario, das geht eigentlich an einem Tag, innerhalb von Stunden):
http://www.zdnet.de/88216206/google-stoppt-umfassenden-angriff-mit-manipulierten-online-anzeigen/
Aber mit dem Finger auf MS zeigen. Wie heisst es doch gleich? Wer mit dem Zeigefinger auf andere zeigt, der zeigt mit drei Fingern auf sich selber.
Zwei haben wir nun (no fix for Android <4.4 und no action at Ad-Sense malware problem) – mal sehen, was als nächstes ans Licht kommt.
Ist aus Google jetzt ein „Beamten-Laden“ geworden?
Der Patch ist unterwegs – wenn auch spät.
Wegen Problemen kommt er etwas später.
Diese Veröffentlichung halt Ich so für nicht berechtigt.
Ich denke mal dass Google das so rechtfertigen kann, dass sie die Nutzer vor dem Problem warnen wollen.
Nein, erst durch die Google Veröffentlichung werden die Nutzer konkret in Gefahr gebracht. Vorher war es nur latent.
Ärgerlich ist – wegen der aufgetretenen Kompatibilitäts-Probleme – dass der Patch erst später kommt.
Google ist halt böse. Egal, was sie selber von sich halten.
Wie schön dass es wenigstens eine Firma gibt, die nicht böse ist, sondern der Engel unter den ganzen Teufeln. ;)
Ich denke da gerade an Obst, was ja nicht nur lecker sondern auch gesund ist und deshalb auch ganz bestimmt gut. ;)
Zumindest denken deren Anhänger dass es so ist. ;)
@ C
Einwand Euer Ehren!
a.) 90 Tage nachdem Microsoft informiert wurde?
b.) Ist sicher, dass Mr. Forshaw der einzige Spezialist weltweit ist, der Code von Betriebssystemen auf Schwachstellen untersucht?
Besser so, als dass die Schwachstellen von jemand anderem entdeckt, geheim gehalten und ausgenutzt, oder an Kriminelle weitergegeben werden.
My 2 Cent