Google macht aktiv ausgenutzte Zero-Day-Lücke in Windows öffentlich

Sie erlaubt das Ausführen von Schadcode außerhalb der Sandbox. Microsoft bietet ab kommenden Dienstag einen Patch an. Aktuell nutzt eine Gruppe namens Strontium die Schwachstelle für zielgerichtete Angriffe auf Behörden und diplomatische Einrichtungen.

Googles Threat Analysis Group hat Details zu einer Schwachstelle im Windows-Kernel veröffentlicht, die bereits aktiv von Cyberkriminellen für zielgerichtete Angriffe ausgenutzt wird. Einem Blogeintrag der Google-Mitarbeiter Neel Mehta und Billy Leonard zufolge kann ein Angreifer unter Umständen ohne Autorisierung höhere Nutzerrechte erlangen und Schadcode außerhalb einer Sandbox ausführen.

Sicherheit (Bild: Shutterstock)Der Fehler steckt demnach in der Systemdatei win32k.sys. Auslöser ist der Aufruf der Systemfunktion „NTSetWindowLongPtr()“ für den Index „GWLP_ID“, wenn die Funktion „GWL_STYLE“ den Fensterstil „WS_CHILD“ hat.

Die Sandbox des hauseigenen Browsers Chrome sei jedoch nicht betroffen. Sie blockiere Systemaufrufe von win32k.sys mithilfe der Win32k-Lockdown-Funktion von Windows 10.

Microsoft hat den Bug inzwischen bestätigt. Ein Fix soll im Rahmen des November-Patchdays am kommenden Dienstag zur Verfügung gestellt werden. Der Softwarekonzern stuft die Schwachstelle als kritisch ein. Zudem kritisierte er die vorzeitige Offenlegung der Zero-Day-Lücke. Sie sei ein „mögliches Risiko“ für Nutzer.

ANZEIGE

Consumer Identity Summit 2016

The Consumer Identity Summit is here to get you kick-started into the world of CIAM, where you learn from your customers while respecting their privacy needs and securing their personal information against cyber risks.

Google beruft sich indes auf seine Regeln für einen verantwortungsvollen Umgang mit Sicherheitslücken. Sie sehen vor, dass Hersteller, nachdem sie über eine Schwachstelle informiert wurden, 90 Tage Zeit haben, einen Patch zu entwickeln und zu veröffentlichen. Bei aktiv ausgenutzten Anfälligkeiten reduziert Google diese Frist jedoch auf sieben Tage.

In einem Blogeintrag nannte Windows-Chef Terry Myerson zudem Details zu der Spearfishing-Kampagne einer Hackergruppe namens Strontium, die auch als APT28, Sednit, Safacy und Fancy Bear bekannt ist und der russischen Regierung nahestehen soll. Sie kombiniert zwei Zero-Day-Lücken in Flash Player, die Adobe kürzlich geschlossen hat, mit der Anfälligkeit im Windows-Kernel. Strontium gehe in der Regel gegen Behörden und diplomatische Einrichtungen vor und sei in diesem Jahr für mehr Zero-Day-Lücken verantwortlich als jede andere Gruppierung.

Myerson betont zudem, dass Nutzer, die Edge unter Windows 10 einsetzen, gegen den aktuellen Angriff geschützt sind. Das sollte auch für Nutzer gelten, die das in der vergangenen Woche veröffentlichte Update für Flash Player installiert haben, da der derzeit benutzte Exploit eine ältere Version von Adobe Flash benötigt, um die Kontrolle über den Browserprozess zu erlangen.

Ein ähnlicher Fall hatte zuletzt zu einer Kontroverse zwischen Apple und Google geführt. Google Forscher gaben dem iPhone-Hersteller ebenfalls 90 Tage Zeit, um eine als „neue Fehlerklasse“ bezeichnete Lücke in macOS Sierra 10.12 und früher zu schließen. Erst nach einer Intervention durch „leitende Manager“ erhielt Apple eine Fristverlängerung von fünf Wochen, die es dem Unternehmen erlaubte, einen Patch vor der Veröffentlichung der Details der Schwachstelle bereitzustellen. Allerdings gab es zu diesem Zeitpunkt auch noch keinen Exploit für den Bug, der es Angreifern erlaubt, Schadprogramme mit Kernel- oder Root-Rechten auszuführen.

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Google, Hacker, Microsoft, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Google macht aktiv ausgenutzte Zero-Day-Lücke in Windows öffentlich

Kommentar hinzufügen
  • Am 2. November 2016 um 11:35 von Marc

    Jetzt wo Google davor ist, ihr eigenes verkommenes Andromeda zu veröffentlichen muss man den Konkurrenten eben schlecht machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *