Die Sicherheitslücke ist ohne die Abschaltung des 8086-Emulationsmodus nicht zu schließen. Der Real-Mode des 8086 hat keinen Speicherschutz. Daher muss eine Emulation so programmiert sein, dass innerhalb des 20-Bit-Adressraums einer virtuellen 80×86-Maschine keine Prüfung auf Speicherzugriffsrechte stattfindet. Zudem muss das feste Adressierungsschema des 8086 Speicheradresse = Segmentregister * 16 + Offsetregister exakt im Adressraum des Protected Mode abgebildet werden. Somit können Entwickler Ring3-Code nur den Vollzugriff auf den gesamten Adressraum der virtuellen 8086-Maschine geben.
Grundsätzlich lässt sich der DOS- und 16-Bit-Windows-Emulationsmodus abschalten, indem man den DWORD-Wert VDMDisallowed im Registry-Key HKEY_LOCAL_MACHINE
Da der Exploit ohne tiefe Kenntnisse ausgenutzt werden kann, sollte man vorher prüfen, ob sich nicht bereits Benutzer in die lokale Administratorgruppe hinzugefügt haben. Diese Prüfung muss für jeden 32-Bit-Arbeitsplatz durchgeführt werden.
Ferner ist zu bedenken, dass vor allem Laptop-Nutzer die Möglichkeit haben, den VDMDisallowed-Parameter in der Registry wieder auf null zu setzen. Dazu benötigen sie nur eine Installations-DVD ab Windows Vista. Dann können sie den Software-Hive im Verzeichnis C:WindowsSystem32config im Registry-Editor laden und ändern.
Nach der Änderung loggt man sich ohne Netzwerkverbindung ein. Das stellt sicher, dass eine eventuelle Group-Policy nicht greift. Erst wenn der Nutzer die Konsole des System-Kontos geöffnet hat, verbindet er sich mit dem Firmennetz.
Gegen Registry-Manipulationen mit einem Boot-Medium schützt nur eine Festplattenverschlüsselung wie Bitlocker. Neben der genannten Registry-Manipulation gibt es seit vielen Jahren fertige Registry-Manipulationstools, die direkt die SAM modifizieren und so Administratorrechte verschaffen. Dazu gehört beispielsweise ntpasswd.
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…