Erneut Zero-Day-Lücke in Windows per Twitter veröffentlicht

Der Twitter-Nutzer SandboxEscaper hat erneut eine Zero-Day-Lücke in Windows öffentlich gemacht, und zwar zum zweiten Mal innerhalb von nur zwei Monaten. Auf GitHub veröffentlichte er zudem einen Proof-of-Concept, mit dem sich der Fehler nachvollziehen lässt. Damit stehen alle Details zur Verfügung, um Malware für die Schwachstelle zu entwickeln.

Der Fehler steckt in der Funktion Microsoft Data Sharing, die als lokaler Dienst den Austausch von Daten zwischen Anwendungen ermöglicht. Nach Angaben mehrerer Sicherheitsexperten, die sich mit der Zero-Day-Lücke beschäftigt haben, kann ein Angreifer die Anfälligkeit benutzen, um seine Benutzerrechte auszuweiten. In Kombination mit einer Lücke, die eine Remotecodeausführung nur mit den Rechten des angemeldeten Benutzers erlaubt, wäre es also möglich, ein Windows-System vollständig zu kompromittieren.

Der Beispielcode von SandboxEscaper ist in der Lage, Dateien zu löschen, für die normalerweise Administratorrechte benötigt werden. Die Experten gehen davon aus, dass sich die Schwachstelle aber auch für andere Aktion einsetzen lässt.

Betroffen sind demnach nur aktuelle Windows-Versionen, angefangen bei allen unterstützten Versionen von Windows 10 inklusive dem Oktober-2018-Update. Außerdem sollen Windows Server 2016 und auch Server 2019 angreifbar sein. Ältere OS-Versionen sind laut Will Dormann vom US-CERT nicht betroffen, da ihnen die fehlerhafte Datei dssvc.dll fehlt.

Auch die erste von SandboxEscaper im August öffentlich gemachte Sicherheitslücke ermöglichte eine nicht autorisierte Ausweitung von Benutzerrechten sowie das Löschen von Dateien. Laut Sicherheitsexperte Kevin Beaumont prüfte Windows in dem Fall die Berechtigungen des Nutzers nicht. Microsoft lieferte schließlich im September den benötigten Patch aus. Zuvor war es Cyberkriminellen allerdings gelungen, die Anfälligkeit für ihre Zwecke einzusetzen.

Mitja Kolsek, CEO von Acros Security, rät zudem dringend ab, den Proof-of-Concept für die neue Zero-Day-Lücke auszuführen. Die auf GitHub erhältliche Datei deletebug.exe lösche nämlich die Systemdatei pci.sys, ohne die ein Start von Windows nicht möglich sei.

Microsofts nächster Patchday findet am 14. November statt. Ob drei Wochen ausreichend sind, um einen Fix für die Schwachstelle zu entwickeln, bleibt abzuwarten.