Oktober-Patchday: Microsoft schließt Zero-Day-Lücke in Windows

Microsoft hat an seinem Oktober-Patchday eine schwerwiegende Zero-Day-Lücke in Windows geschlossen. Sie soll bereits aktiv von der Hackergruppe FruityArmor ausgenutzt werden, die im Juni eine Zero-Day-Lücke im Flash Player gegen Ziele im Mittleren Osten eingesetzt hatte. Insgesamt stehen Fixes für 49 Sicherheitslücken in Microsoft-Produkten zur Verfügung, von denen 18 mit kritisch bewertet sind.

Die von den Hackern verwendete Schwachstelle mit der Kennung CVE-2018-8453 steckt im Systemtreiber Win32k.sys und wurde vom russischen Sicherheitsanbieter Kaspersky Lab entdeckt. Sie erlaubt eine nicht autorisierte Ausweitung von Nutzerrechten. Die Hacker müssen sich also zuerst Zugang zu einem System verschaffen, beispielsweise über eine andere ungepatchte Anfälligkeit, um die neue Windows-Lücke einsetzen zu können. Danach sind sie allerdings in der Lage, Schadcode mit Kernelrechten auszuführen. „Ein Angreifer könnte dann Programme installieren, Daten ansehen, ändern oder löschen oder neue Nutzerkonten mit allen Rechten anlegen“, teilte Microsoft mit.

„Malware nutzte diese Schwachstelle aus, um ausreichend Benutzerrechte für eine dauerhafte Infektion des Computers eines Opfers zu erhalten“, beschreibt Kaspersky die Lücke in seinem Blog. Auch im jüngsten Fall seien die Angreifer sehr zielgerichtet vorgegangen und hätten erneut Systeme im Mittleren Osten ins Visier genommen.

Enttarnt wurde die Schadsoftware im August durch Kasperskys Automatic Exploit Prevention System (AEP). Eine weitere Analyse des Schadcodes habe schließlich zu der Schwachstelle im Systemtreiber Win32k.sys geführt. „Der Code des Exploits hat eine hohe Qualität und wurde mit dem Ziel geschrieben, zuverlässig so viele Windows-Builds auszunutzen wie möglich, inklusive Windows 10 Version 1809“, heißt es in einem ergänzenden Eintrag auf SecureList.

Die weiteren Anfälligkeiten stecken Microsoft zufolge in Internet Explorer, Edge, Windows, Office, den Office Services sowie den Web Apps, ChakraCore, .NET Core, PowerShell Core, SQL Server Management Studio, Exchange Server, Azure IoT Edge sowie Hub Device Client SDK for Azure IoT. Die Verteilung der Updates erfolgt wie immer über die integrierte Update-Funktion von Windows. Nutzer von Windows 10 erhalten die Patches wie gewohnt im Rahmen eines kumulativen Updates, das möglicherweise auch nicht sicherheitsrelevante Fehlerkorrekturen enthält.