Auf der Sicherheitskonferenz Black Hat haben vier israelische Forscher eine Schwachstelle in Microsofts digitalem Assistenten Cortana vorgeführt, die es erlaubt, eine Sicherheitsfunktion von Windows 10 zu umgehen. Wie Threatpost berichtet, öffnet der Open Sesame (Sesam, öffne dich) genannte Bug eine Tür zu Windows 10, indem der den Sperrbildschirm umgeht.
Bei gesperrtem Bildschirm steht Nutzern von Windows 10 die Tastatur lediglich zur Eingabe von PIN oder Kennwort zur Verfügung. Zudem akzeptiert ein gesperrtes Windows 10 bestimmte Befehle für Cortana. Wird der Assistent aktiviert, wird auch die Tastatur freigegeben, was es dem Forscherteam ermöglichte, ohne Authentifizierung des Nutzers lokale Befehle auszuführen.
Anschließend waren sie in der Lage, beliebige Websites aufzurufen, Dateien herunterzuladen und auszuführen und in einigen Fällen auch höhere Rechte zu erlangen. Dem Bericht zufolge sollen Sicherheitslösungen einen solchen Angriff nicht erkennen, da dabei kein Schadcode zum Einsatz kommt.
Die Forscher weisen zudem darauf hin, dass jede App, die per Cortana auch vom Sperrbildschirm aus bedient werden kann, die Angriffsfläche auf diesen erhöht. Dadurch werde der Sperrbildschirm zu einem zweiten Desktop mit eingeschränkten Zugriffsmöglichkeiten. „Früher stellte das Betriebssystem sicher, dass die UI nicht zugänglich ist, sobald der Computer gesperrt ist, also mussten sich Entwickler keine Gedanken darüber machen“, erklärten die Forscher. „Jetzt liegt das in der Verantwortung der Entwickler.“
Microsoft weiß bereits seit April von der Schwachstelle. Für Nutzer von Windows 10, die die Juni-Patches installiert haben, besteht keine Gefahr mehr. Parallel wurde die Anfälligkeit auch von Forschern von McAfee entdeckt und an Microsoft gemeldet. Nutzer, die auf den Sperrbildschirm angewiesen sind, sollten also unbedingt – falls noch nicht geschehen – die Juni-Updates einspielen.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
