Mitarbeiter von Googles Project Zero haben erneut eine Sicherheitslücke in Windows 10 entdeckt. Und erneut war Microsoft offenbar nicht in der Lage, die von Google vorgegebene Frist von 90 Tagen für die Veröffentlichung eines Patches einzuhalten beziehungsweise eine Fristverlängerung mit Google auszuhandeln. Als Folge sind die Details der Schwachstelle seit Freitag für jedermann verfügbar – inklusive Beispielcode für einen Exploit.
Eine Gefahr ergibt sich allerdings nur für bestimmte Nutzer von Windows 10. Der Fehler tritt nur auf, wenn die Sicherheitsfunktion Device Guard aktiviert ist. Das ist unter anderem bei bestimmten Enterprise-PCs sowie unter Windows 10 S der Fall. Er führt dazu dass die Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI) außer Kraft gesetzt wird.
UMCI soll eigentlich sicherstellen, dass alle Prozesse, die im Benutzermodus ausgeführt werden, vertrauenswürdig sind. Das gilt für jegliche Dienste, UWP-Apps oder auch klassische Desktopanwendungen. Nicht vertrauenswürdige Binärdateien wie Schadprogramme sollen indes nicht ausgeführt werden können. Laut James Forshaw, Forscher für Googles Project Zero, kann ein Angreifer jedoch mithilfe der Anfälligkeit erreichen, dass Schadcode sogar dauerhaft ausgeführt wird.
Der Bug selbst steckt in .NET Framework. Aufgrund zwei weiterer ungepatchter Lücken in .NET Framework stuft Forshaw die von der jetzt öffentlich gemachten Zero-Day-Lücke ausgehende Gefahr als eher gering ein. „Das Problem ist nicht so ernst, wie es gewesen wäre, wenn alle bekannten Möglichkeiten für einen Bypass behoben wären.“
Forshaw macht außerdem auch darauf aufmerksam, dass der Fehler nicht zu einer Ausweitung von Nutzerrechten führt. Ein Angreifer benötige zudem einen lokalen Zugang zu einem System und müsse es bereits mit einer Schadsoftware infiziert haben, um den Fehler ausnutzen zu können. Allerdings sei es möglich, den Fehler in .NET mit einem anderen Bug beispielsweise in Edge zu kombinieren, um letztlich doch über ein Netzwerk oder gar das Internet die Device-Guard-Funktion zu umgehen.
Google meldete den Fehler bereits am 19. Januar an Microsoft. Das Unternehmen aus Redmond bestätigte ihn rund drei Wochen später und kündigte an, einen Patch erst im Mai nach Ablauf der Frist veröffentlichen zu können. Als Grund nannte es „nicht vorhersehbare Abhängigkeiten im Code“. Der Fristverlängerung erteilte Google jedoch eine Absage. Auch der später von Microsoft vorgeschlagene Kompromiss, zumindest die Veröffentlichung des Redstone-4-Updates für Windows 10 abzuwarten, wurde von Google zurückgewiesen, mit dem Hinweis, Microsoft haben noch keinen konkreten Termin für die Bereitstellung des Funktionsupdates genannt.
Die Offenlegung von ungepatchten Sicherheitslücken ist umstritten. Sie dient vor allem als Druckmittel, um die Entwicklung von Patches zu beschleunigen. Schließlich könnte ein Fehler auch jederzeit von Cyberkriminellen entdeckt und ausgenutzt werden – dass Fehler von mehreren Forschern unabhängig voneinander aufgespürt wird, ist tatsächlich an der Tagesordnung. Allerdings trägt letztlich der Nutzer die Last der Offenlegung vor Veröffentlichung eines Patches, denn Angriffe würden sich schließlich gegen ihn richten. Der Mittelweg, nämlich Schwachstellen öffentlich zu machen, ohne technische Details preiszugeben, wird bisher verworfen, weil so nicht der notwendige Druck auf den Hersteller ausgebaut werde. Zumindest Google hält sich strikt an die 90-Tage-Frist.
Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!
Report: State of Digital Transformation EMEA 2019
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Neueste Kommentare
3 Kommentare zu Google-Forscher machen ungepatchte Windows-10-Lücke öffentlich
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Man muß sich auch nur mal vor Augen halten wie oft (das ist ja noch gut) Patche zur Verfügung stehen. Aber bei MS ist das Einspielen ja nur die halbe Miete, denn um den Flicken zu installieren damit er greift, ist fast immer ein Neu-Start nötig. Und da scheitert das System, denn wer startet seinen PC denn durch, wenn gerade mal alle Programme schön geöffnet sind, inklusive diverser Reiter und Fenster; vielleicht auch noch diverse Fernzugriffe und Mappings…..
Ich starte meinen Rechner manchmal 2 Monate nicht; und so ist mein Patch-Stand öfter 3 Monate hinterher, weil man ja Patches mindestens 2-3 Wochen reifen läßt damit sie von der Alpha zu Beta-Version aufsteigen.
Und nun noch diese unsäglichen Bundles ohne Möglichkeit die zutreffenden Flicken auszuwählen. Was ist daran sicher? Gilt natürlich für beide Windows-Versionen.
Ich finde auch immer wieder Rechner bei Kunden, die sich wahrscheinlich durch den Schnell-Satrt so verhustet haben, daß sie seit Jahren keine Aktualisierungen aufspielen, obwohl Alles auf Auto steht. Da steht dann der svchost-Prozess auf 50-100% und das war es.
Bei Betriebssystemen hatte ich das bisher noch nicht.
Wenn Du das mit der svchost und 50% bei einem Win 7 oder 8 Rechner sehen solltest, schau auf der Seite wu.krelay.de nach, da steht, welche Microsoft Fixes nötig sind, damit das Windows Update nicht endlos den Rechner blockiert.
Gleich in der Tabelle unter „Problemlösung“ sind die KBs aufgeführt. Die entsprechenden KBs installieren, und das Windows Update funktioniert wieder.
Microsoft hatte möglicherweise ein kleines Interesse den Kunden Windows 7 madig zu machen, damit sie auf Win 10 umsteigen. Jedenfalls traten die Peobleme zufällig auf, als es die Möglichkeit des ‚kostenlosen‘ Updates gab.
MS hatte erklärt, Win-10 sei „viel sicherer“ als Win-7.
Erst das Edge Desaster – nun geht es weiter… Marketing ersetzt Substanz. Wie beim Apfel.