Google-Forscher machen ungepatchte Windows-10-Lücke öffentlich

Mitarbeiter von Googles Project Zero haben erneut eine Sicherheitslücke in Windows 10 entdeckt. Und erneut war Microsoft offenbar nicht in der Lage, die von Google vorgegebene Frist von 90 Tagen für die Veröffentlichung eines Patches einzuhalten beziehungsweise eine Fristverlängerung mit Google auszuhandeln. Als Folge sind die Details der Schwachstelle seit Freitag für jedermann verfügbar – inklusive Beispielcode für einen Exploit.

Eine Gefahr ergibt sich allerdings nur für bestimmte Nutzer von Windows 10. Der Fehler tritt nur auf, wenn die Sicherheitsfunktion Device Guard aktiviert ist. Das ist unter anderem bei bestimmten Enterprise-PCs sowie unter Windows 10 S der Fall. Er führt dazu dass die Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI) außer Kraft gesetzt wird.

UMCI soll eigentlich sicherstellen, dass alle Prozesse, die im Benutzermodus ausgeführt werden, vertrauenswürdig sind. Das gilt für jegliche Dienste, UWP-Apps oder auch klassische Desktopanwendungen. Nicht vertrauenswürdige Binärdateien wie Schadprogramme sollen indes nicht ausgeführt werden können. Laut James Forshaw, Forscher für Googles Project Zero, kann ein Angreifer jedoch mithilfe der Anfälligkeit erreichen, dass Schadcode sogar dauerhaft ausgeführt wird.

Der Bug selbst steckt in .NET Framework. Aufgrund zwei weiterer ungepatchter Lücken in .NET Framework stuft Forshaw die von der jetzt öffentlich gemachten Zero-Day-Lücke ausgehende Gefahr als eher gering ein. „Das Problem ist nicht so ernst, wie es gewesen wäre, wenn alle bekannten Möglichkeiten für einen Bypass behoben wären.“

Forshaw macht außerdem auch darauf aufmerksam, dass der Fehler nicht zu einer Ausweitung von Nutzerrechten führt. Ein Angreifer benötige zudem einen lokalen Zugang zu einem System und müsse es bereits mit einer Schadsoftware infiziert haben, um den Fehler ausnutzen zu können. Allerdings sei es möglich, den Fehler in .NET mit einem anderen Bug beispielsweise in Edge zu kombinieren, um letztlich doch über ein Netzwerk oder gar das Internet die Device-Guard-Funktion zu umgehen.

Google meldete den Fehler bereits am 19. Januar an Microsoft. Das Unternehmen aus Redmond bestätigte ihn rund drei Wochen später und kündigte an, einen Patch erst im Mai nach Ablauf der Frist veröffentlichen zu können. Als Grund nannte es „nicht vorhersehbare Abhängigkeiten im Code“. Der Fristverlängerung erteilte Google jedoch eine Absage. Auch der später von Microsoft vorgeschlagene Kompromiss, zumindest die Veröffentlichung des Redstone-4-Updates für Windows 10 abzuwarten, wurde von Google zurückgewiesen, mit dem Hinweis, Microsoft haben noch keinen konkreten Termin für die Bereitstellung des Funktionsupdates genannt.

Die Offenlegung von ungepatchten Sicherheitslücken ist umstritten. Sie dient vor allem als Druckmittel, um die Entwicklung von Patches zu beschleunigen. Schließlich könnte ein Fehler auch jederzeit von Cyberkriminellen entdeckt und ausgenutzt werden – dass Fehler von mehreren Forschern unabhängig voneinander aufgespürt wird, ist tatsächlich an der Tagesordnung. Allerdings trägt letztlich der Nutzer die Last der Offenlegung vor Veröffentlichung eines Patches, denn Angriffe würden sich schließlich gegen ihn richten. Der Mittelweg, nämlich Schwachstellen öffentlich zu machen, ohne technische Details preiszugeben, wird bisher verworfen, weil so nicht der notwendige Druck auf den Hersteller ausgebaut werde. Zumindest Google hält sich strikt an die 90-Tage-Frist.

Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!