Chief Security Advisor Blog - Deutschland - Michael Kranawetter

Deutschsprachiger Blog für die Sicherheits-Gemeinschaft.Diskutiert werden alle Informations-Sicherheits relevanten Themen.

Microsoft untersucht neue Lücke im Windows-Kernel

Microsoft untersucht neue Lücke im Windows-Kernel

  • Comments 1
  • Likes

Einem Blog-Eintrag des Antimalware-Anbieters Prevx zufolge, tauchte vorgestern Proof-of-Concept-Code in einem chinesischen Forum auf. Der Code soll eine lokale Escalation-of-Privileges (EoP)-Schwachstelle in Windows missbrauchen und wird von Prevx als 0day-Lücke bezeichnet, da es noch kein Sicherheitsupdate zum Beheben der Lücke gebe. Schadsoftware, die die beschriebene Lücke aktiv missbraucht, sei von Prevx noch nicht gesichtet worden.
 
Die Schwachstelle soll in win32k.sys entdeckt worden sein, dem Kernel-Mode-Treiber von Windows. Würde die Lücke aktiv missbraucht, könnte der Angreifer auch dann beliebigen Code im Kernel-Modus ausführen, wenn der gerade angemeldete Nutzer nur eingeschränkte Rechte hat. Betroffen sind laut Prevx die Windows Versionen XP, Vista und Windows 7 (32- und 64-Bit-Variante).
 
Microsoft kennt die öffentlich gemachten Details der EoP-Lücke, die unter Umständen im Windows Kernel zu finden ist. Die US-Kollegen sind bereits dabei, die verfügbaren Informationen zu prüfen und werden nach Abschluss der Untersuchung die – falls notwendig – angebrachten Schritte einleiten.
 
Da es sich bei der beschriebenen Lücke um ein lokales Escalation-of-Privilege-Problem handelt, muss ein Angreifer bereits vor dem Missbrauch dieser Lücke in der Lage gewesen sein, Programmcode auf dem PC des Opfers auszuführen. In solchen Fällen hat der Angreifer aber zumeist ohnehin schon die Kontrolle über den PC erlangt und könnte die Maschine kontrollieren.
 
Microsoft nimmt sämtliche gemeldeten Hinweise zu Sicherheitslücken ernst. Um das Risiko für Anwender zu minimieren, sollten gefundene Schwachstellen dem jeweils betroffenen Hersteller gemeldet werden. So ist sicher gestellt, dass ein qualitativ hochwertiges Sicherheitsupdate bereit gestellt werden kann, bevor Cyber-Kriminelle die Lücke missbrauchen können. Das Veröffentlichen von Informationen zu Lücken in frei zugänglichen Foren gefährdet hingegen die Sicherheit der Anwender.

Comments
  • Grüß Sie Hr. Kranawetter,

    ich möchte Ihnen zustimmen, dass die Veröffentlichung von Sicherheitslücken in freien Foren die Chance auf eine missbräuchliche Nutzung steigert.

    Sicherheit ist heute aber ein Geschäftsfeld wie jedes andere auch, dass von Profit und Nutzen regiert wird. Bei einigen Firmen sehe ich Tendenzen, gefunden Vulnerabilitys zu entlohnen und so einer veröffentlichung auf dem "freien Markt" vorzukommen!

    Ich bin mir nicht sicher, ob dies der richtige Weg ist, aber es ist eine Maßnahme, die a) die Verbreitung von gefährlichen Code reduziert und b) die Qulität der Produkte verbessert.

    Bei MS hat man vor einiger Zeit ja auch ein "Kopfgeld" auf Malware-Autoren ausgesetzt. Hat man auch mal in Erwägung gezogen, Bug-Hunter für Ihre Arbeit zu entlohnen? Ich könnte mir denken, das dies auch sehr positiv aufgenommen wird und auch dazu beiträgt, dass MS bevorzugt informiert wird.

    Beste Grüße

      Ralph Dombach

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment