Categories: SicherheitVirus

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forschern ist es gelungen, einen Patch zu umgehen, den Microsoft für eine Sicherheitslücke im Windows-Druckdienst bereitgestellt hat. Ein Angreifer kann unter Umständen Schadcode mit erhöhten Benutzerrechten ausführen, wie Bleeping Computer berichtet.

Eigentlich sollte ein im Mai veröffentlichter Fix die Schwachstelle CVE-2020-1048 beseitigen. Entdeckt und an Microsoft gemeldet wurde die ursprüngliche Anfälligkeit von den Forschern Peleg Hadar und Tomer Bar von SafeBreach Labs. Sie steckt in der Druckwarteschlange. Sie fanden auch heraus, dass der Patch nicht wirksam ist.

Details zu der neuen Sicherheitslücke, die die Kennung CVE-2020-1337 erhalten hat, sind nicht bekannt. Sie sollen erst nach Freigabe eines neuen Patches öffentlich gemacht werden – geplant ist eine Bereitstellung im Rahmen des August-Patchdays am 11. August.

CVE-2020-10418 beschreibt Microsoft als eine „Sicherheitsanfälligkeit“, bei der „der Windows-Druckerspoolerdienst fälschlicherweise beliebiges Schreiben in das Dateisystem ermöglicht. Ein lokaler Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit erweiterten Systemberechtigungen ausführen. Der Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten erstellen.“

Laut Bleeping Computer ist es möglich, speziell gestaltete Dateien in den Ordner der Druckwarteschlange abzulegen, die dann beim nächsten Start des Betriebssystems verarbeitet werden. So gelang es ihnen, eine getarnte DLL-Datei in den System32-Ordner zu kopieren.

„Als Bonus luden mehrere Windows-Dienste unsere DLL (wbemcomn.dll), da sie die Signatur nicht verifizierten, und versuchten, die DLL von einem nicht existierenden Pfad zu laden, was bedeutete, dass wir auch Codeausführung erhielten“, ergänzten die Forscher.

Zwar funktioniert dieser Angriff auf Systemen, die den Mai-Patch installiert haben, nicht mehr, die Lücke in dem Patch soll allerdings zu ähnlich Ergebnissen führen.

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Jetzt registrieren und Aufzeichnung ansehen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.