Google-Forscher machen ungepatchte Windows-10-Lücke öffentlich

Mitarbeiter von Googles Project Zero haben erneut eine Sicherheitslücke in Windows 10 entdeckt. Und erneut war Microsoft offenbar nicht in der Lage, die von Google vorgegebene Frist von 90 Tagen für die Veröffentlichung eines Patches einzuhalten beziehungsweise eine Fristverlängerung mit Google auszuhandeln. Als Folge sind die Details der Schwachstelle seit Freitag für jedermann verfügbar – inklusive Beispielcode für einen Exploit.

Eine Gefahr ergibt sich allerdings nur für bestimmte Nutzer von Windows 10. Der Fehler tritt nur auf, wenn die Sicherheitsfunktion Device Guard aktiviert ist. Das ist unter anderem bei bestimmten Enterprise-PCs sowie unter Windows 10 S der Fall. Er führt dazu dass die Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI) außer Kraft gesetzt wird.

UMCI soll eigentlich sicherstellen, dass alle Prozesse, die im Benutzermodus ausgeführt werden, vertrauenswürdig sind. Das gilt für jegliche Dienste, UWP-Apps oder auch klassische Desktopanwendungen. Nicht vertrauenswürdige Binärdateien wie Schadprogramme sollen indes nicht ausgeführt werden können. Laut James Forshaw, Forscher für Googles Project Zero, kann ein Angreifer jedoch mithilfe der Anfälligkeit erreichen, dass Schadcode sogar dauerhaft ausgeführt wird.

Der Bug selbst steckt in .NET Framework. Aufgrund zwei weiterer ungepatchter Lücken in .NET Framework stuft Forshaw die von der jetzt öffentlich gemachten Zero-Day-Lücke ausgehende Gefahr als eher gering ein. „Das Problem ist nicht so ernst, wie es gewesen wäre, wenn alle bekannten Möglichkeiten für einen Bypass behoben wären.“

Forshaw macht außerdem auch darauf aufmerksam, dass der Fehler nicht zu einer Ausweitung von Nutzerrechten führt. Ein Angreifer benötige zudem einen lokalen Zugang zu einem System und müsse es bereits mit einer Schadsoftware infiziert haben, um den Fehler ausnutzen zu können. Allerdings sei es möglich, den Fehler in .NET mit einem anderen Bug beispielsweise in Edge zu kombinieren, um letztlich doch über ein Netzwerk oder gar das Internet die Device-Guard-Funktion zu umgehen.

Google meldete den Fehler bereits am 19. Januar an Microsoft. Das Unternehmen aus Redmond bestätigte ihn rund drei Wochen später und kündigte an, einen Patch erst im Mai nach Ablauf der Frist veröffentlichen zu können. Als Grund nannte es „nicht vorhersehbare Abhängigkeiten im Code“. Der Fristverlängerung erteilte Google jedoch eine Absage. Auch der später von Microsoft vorgeschlagene Kompromiss, zumindest die Veröffentlichung des Redstone-4-Updates für Windows 10 abzuwarten, wurde von Google zurückgewiesen, mit dem Hinweis, Microsoft haben noch keinen konkreten Termin für die Bereitstellung des Funktionsupdates genannt.

Die Offenlegung von ungepatchten Sicherheitslücken ist umstritten. Sie dient vor allem als Druckmittel, um die Entwicklung von Patches zu beschleunigen. Schließlich könnte ein Fehler auch jederzeit von Cyberkriminellen entdeckt und ausgenutzt werden – dass Fehler von mehreren Forschern unabhängig voneinander aufgespürt wird, ist tatsächlich an der Tagesordnung. Allerdings trägt letztlich der Nutzer die Last der Offenlegung vor Veröffentlichung eines Patches, denn Angriffe würden sich schließlich gegen ihn richten. Der Mittelweg, nämlich Schwachstellen öffentlich zu machen, ohne technische Details preiszugeben, wird bisher verworfen, weil so nicht der notwendige Druck auf den Hersteller ausgebaut werde. Zumindest Google hält sich strikt an die 90-Tage-Frist.

Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

14 Stunden ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

15 Stunden ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

1 Tag ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

2 Tagen ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

2 Tagen ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

3 Tagen ago