Adminrechte per Mausklick: gefährliche Lücke in Windows

Am Dienstag veröffentlichte Tavis Ormandy von Neohapsis einen Exploit für alle 32-Bit-Versionen von Windows. Dabei handelt es sich um eine der gefährlichsten Sicherheitslücken, die bisher für das Microsoft-Betriebssystem aufgetaucht sind. Getestet hat Ormandy sein Programm mit Windows XP, 2003, 7 und 2008. Unter Windows NT 3.1 bis 4.0 und 2000 müsste es jedoch ebenfalls funktionieren.

Die Software setzt sämtliche Sicherheitsmechanismen auf dem lokalen Rechner außer Kraft und gefährdet die Netzwerksicherheit in vielen Windows-Domänen-Netzwerken, wie sie in Unternehmen, Behörden und Regierungen genutzt werden. Ein normaler Benutzer, der an seinem Arbeitsplatz eine beliebige 32-Bit-Windows-Version hat, kann damit jede Identität von Benutzern aus einer Active-Directory-Domäne annehmen.

Das Gefährliche an dieser Lücke ist, dass der Angreifer weder spezielle Kenntnisse benötigt, noch besondere Voraussetzungen vorliegen müssen. Ormandy hat seinen Exploit lückenlos dokumentiert und neben dem Sourcecode auch eine ausführbare Datei erstellt, die man nur herunterladen und anklicken muss. Besonders gefährdet sind Unternehmen, die einen Terminalserverzugang auf einem 32-Bit-Rechner für Mitarbeiter zulassen.

Ein Mitarbeiter, der bereit ist, seine Zugangsdaten wie Password oder Smartcard einem Dritten, eventuell gegen Bargeld, zu überlassen, gewährt diesem einen vollständigen Administratorzugang zu allen Rechnern, auf denen er sich mit entferntem oder lokalem Desktopzugang einloggen kann.

Möglich wird der Angriff durch eine Lücke in der virtuellen DOS-Maschine (NTVDM), die in den 32-Bit-Versionen von Windows standardmäßig aktiviert ist. Die NTVDM führt DOS- und 16-Bit-Anwendungen aus. In 64-Bit-Versionen von Windows ist keine NTVDM vorhanden, da AMD und Intel entschieden haben, im 64-Bit-Betrieb ihrer Prozessoren keinen virtuellen 8086-Mode mehr zu implementieren, um sich von unnötigem Ballast bezüglich der Rückwärtskompatibilität zu befreien.

Normalerweise benötigt man heutzutage keine DOS- und 16-Bit-Anwendungen für die tägliche Arbeit mehr. Der Hauptgrund für das Fortbestehen der NTVDM liegt darin, dass einige 32-Bit-Applikationen einen 16-Bit-Installer verwenden. Diese Programme lassen sich auf 64-Bit-Versionen von Windows nicht automatisch installieren.

Page: 1 2 3 4 5 6

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago