Forscher entdeckt zufällig Zero-Day-Lücke in Windows 7 und Server 2008

Ein französischer Sicherheitsforscher ist per Zufall auf eine Sicherheitslücke gestoßen, die in Windows 7 und Windows Server 2008 R2 steckt. Eigentlich arbeitete er an einem Update für ein Windows-Sicherheitstool.

Die Zero-Day-Lücke basiert auf zwei falsch konfigurierten Registry-Einträgen für den RPC Endpoint Mapper sowie die DNSCache Services. Sie gehören zu jeder Windows-Installation.

Ein Angreifer mit physischem Zugriff auf ein System ist laut der Analyse von Clément Labro in der Lage, diese beiden Registry-Schlüssel so zu verändern, dass ein Unterschlüssel aktiviert wird. Der wiederum gehöre zum Windows Performance Monitoring System.

Diese Art von Unterschlüssel soll eigentlich die Überwachung der Leistung einer App ermöglichen. Zu diesem Zweck erlauben sie es Entwicklern aber auch, eigene DLL-Dateien zu laden, um selbst entwickelte Tools zur Leistungsüberwachung einsetzen zu können. Diese Funktion bieten dem Forscher zufolge zwar auch aktuelle Windows-Versionen, sie beschränken jedoch die Ausführung der DLL-Dateien – nicht jedoch Windows 7 und Server 2008, die an dieser Stelle System-Rechte gewähren.

Microsoft konnte der Forscher vorab nicht über die Schwachstelle informieren. Er stieß erst auf die Anfälligkeit, nachdem er sein Sicherheitstool PrivescCheck aktualisiert hatte. Es sucht in Windows nach fehlerhaften Sicherheitseinstellungen, die Malware für eine nicht autorisierte Ausweitung von Nutzerrechten verwenden kann. Erst nach der Veröffentlichung des Updates fand er heraus, dass eine neu eingeführte Prüffunktion die fraglichen „schwachen“ Registry-Einträge markierte.

Zu dem Zeitpunkt sei es bereits zu spät gewesen, um Microsoft vertraulich über das Problem zu informieren. Stattdessen entschloss er sich, seine Erkenntnisse in einem Blogeintrag öffentlich zu machen.

Eine Stellungnahme von Microsoft steht noch aus. Unklar ist, ob der Softwarekonzern einen Patch anbieten wird, da Windows 7 und Server 2008 R2 offiziell nicht mehr unterstützt werden. Lediglich Kunden, die die kostenpflichtigen Extended Support Updates gebucht haben, haben noch Anspruch auf sicherheitsrelevante Korrekturen.

Ein inoffizieller Patch liegt indes vom Sicherheitsanbieter Acros Security vor. Er ist über die Sicherheitssoftware 0patch des Unternehmens erhältlich und soll verhindern, dass Cyberkriminelle die Zero-Day-Lücke für ihre Zwecke nutzen können.