Google-Forscher machen ungepatchte Windows-10-Lücke öffentlich

Mitarbeiter von Googles Project Zero haben erneut eine Sicherheitslücke in Windows 10 entdeckt. Und erneut war Microsoft offenbar nicht in der Lage, die von Google vorgegebene Frist von 90 Tagen für die Veröffentlichung eines Patches einzuhalten beziehungsweise eine Fristverlängerung mit Google auszuhandeln. Als Folge sind die Details der Schwachstelle seit Freitag für jedermann verfügbar – inklusive Beispielcode für einen Exploit.

Eine Gefahr ergibt sich allerdings nur für bestimmte Nutzer von Windows 10. Der Fehler tritt nur auf, wenn die Sicherheitsfunktion Device Guard aktiviert ist. Das ist unter anderem bei bestimmten Enterprise-PCs sowie unter Windows 10 S der Fall. Er führt dazu dass die Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI) außer Kraft gesetzt wird.

UMCI soll eigentlich sicherstellen, dass alle Prozesse, die im Benutzermodus ausgeführt werden, vertrauenswürdig sind. Das gilt für jegliche Dienste, UWP-Apps oder auch klassische Desktopanwendungen. Nicht vertrauenswürdige Binärdateien wie Schadprogramme sollen indes nicht ausgeführt werden können. Laut James Forshaw, Forscher für Googles Project Zero, kann ein Angreifer jedoch mithilfe der Anfälligkeit erreichen, dass Schadcode sogar dauerhaft ausgeführt wird.

Der Bug selbst steckt in .NET Framework. Aufgrund zwei weiterer ungepatchter Lücken in .NET Framework stuft Forshaw die von der jetzt öffentlich gemachten Zero-Day-Lücke ausgehende Gefahr als eher gering ein. „Das Problem ist nicht so ernst, wie es gewesen wäre, wenn alle bekannten Möglichkeiten für einen Bypass behoben wären.“

Forshaw macht außerdem auch darauf aufmerksam, dass der Fehler nicht zu einer Ausweitung von Nutzerrechten führt. Ein Angreifer benötige zudem einen lokalen Zugang zu einem System und müsse es bereits mit einer Schadsoftware infiziert haben, um den Fehler ausnutzen zu können. Allerdings sei es möglich, den Fehler in .NET mit einem anderen Bug beispielsweise in Edge zu kombinieren, um letztlich doch über ein Netzwerk oder gar das Internet die Device-Guard-Funktion zu umgehen.

Google meldete den Fehler bereits am 19. Januar an Microsoft. Das Unternehmen aus Redmond bestätigte ihn rund drei Wochen später und kündigte an, einen Patch erst im Mai nach Ablauf der Frist veröffentlichen zu können. Als Grund nannte es „nicht vorhersehbare Abhängigkeiten im Code“. Der Fristverlängerung erteilte Google jedoch eine Absage. Auch der später von Microsoft vorgeschlagene Kompromiss, zumindest die Veröffentlichung des Redstone-4-Updates für Windows 10 abzuwarten, wurde von Google zurückgewiesen, mit dem Hinweis, Microsoft haben noch keinen konkreten Termin für die Bereitstellung des Funktionsupdates genannt.

Die Offenlegung von ungepatchten Sicherheitslücken ist umstritten. Sie dient vor allem als Druckmittel, um die Entwicklung von Patches zu beschleunigen. Schließlich könnte ein Fehler auch jederzeit von Cyberkriminellen entdeckt und ausgenutzt werden – dass Fehler von mehreren Forschern unabhängig voneinander aufgespürt wird, ist tatsächlich an der Tagesordnung. Allerdings trägt letztlich der Nutzer die Last der Offenlegung vor Veröffentlichung eines Patches, denn Angriffe würden sich schließlich gegen ihn richten. Der Mittelweg, nämlich Schwachstellen öffentlich zu machen, ohne technische Details preiszugeben, wird bisher verworfen, weil so nicht der notwendige Druck auf den Hersteller ausgebaut werde. Zumindest Google hält sich strikt an die 90-Tage-Frist.

Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

8 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

10 Stunden ago