Categories: SicherheitVirus

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forschern ist es gelungen, einen Patch zu umgehen, den Microsoft für eine Sicherheitslücke im Windows-Druckdienst bereitgestellt hat. Ein Angreifer kann unter Umständen Schadcode mit erhöhten Benutzerrechten ausführen, wie Bleeping Computer berichtet.

Eigentlich sollte ein im Mai veröffentlichter Fix die Schwachstelle CVE-2020-1048 beseitigen. Entdeckt und an Microsoft gemeldet wurde die ursprüngliche Anfälligkeit von den Forschern Peleg Hadar und Tomer Bar von SafeBreach Labs. Sie steckt in der Druckwarteschlange. Sie fanden auch heraus, dass der Patch nicht wirksam ist.

Details zu der neuen Sicherheitslücke, die die Kennung CVE-2020-1337 erhalten hat, sind nicht bekannt. Sie sollen erst nach Freigabe eines neuen Patches öffentlich gemacht werden – geplant ist eine Bereitstellung im Rahmen des August-Patchdays am 11. August.

CVE-2020-10418 beschreibt Microsoft als eine „Sicherheitsanfälligkeit“, bei der „der Windows-Druckerspoolerdienst fälschlicherweise beliebiges Schreiben in das Dateisystem ermöglicht. Ein lokaler Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit erweiterten Systemberechtigungen ausführen. Der Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten erstellen.“

Laut Bleeping Computer ist es möglich, speziell gestaltete Dateien in den Ordner der Druckwarteschlange abzulegen, die dann beim nächsten Start des Betriebssystems verarbeitet werden. So gelang es ihnen, eine getarnte DLL-Datei in den System32-Ordner zu kopieren.

„Als Bonus luden mehrere Windows-Dienste unsere DLL (wbemcomn.dll), da sie die Signatur nicht verifizierten, und versuchten, die DLL von einem nicht existierenden Pfad zu laden, was bedeutete, dass wir auch Codeausführung erhielten“, ergänzten die Forscher.

Zwar funktioniert dieser Angriff auf Systemen, die den Mai-Patch installiert haben, nicht mehr, die Lücke in dem Patch soll allerdings zu ähnlich Ergebnissen führen.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kritische Lücken in Adobe Reader und Acrobat

Sie erlauben eine Remotecodeausführung. Betroffen sind alle unterstützten Versionen von Adobe Reader und Acrobat für…

12 Stunden ago

Google stopft weitere fünf Löcher in Chrome 128

Betroffen sind Chrome für Windows, macOS und Linux. Das von den Anfälligkeiten ausgehende Risiko stuft…

13 Stunden ago

Steuerstreit mit der EU: Apple muss 13 Milliarden Euro nachzahlen

Der Gerichtshof der Europäischen Union entscheidet „endgültig“ über den Rechtsstreit. Dem Urteil zufolge sind von…

18 Stunden ago

September-Patchday: Microsoft schließt kritische Zero-Day-Lücke in Windows Update

Sie betrifft ältere Versionen von Windows 10. Ein weiterer kritischer Bug steckt aber auch in…

19 Stunden ago

CloudEye für 18 Prozent aller Malware-Infektionen in Deutschland verantwortlich

Der Downloader nimmt Windows-Rechner ins Visier. RansomHub festigt seine Position als führende Ransomware-Gruppe weltweit.

1 Tag ago

Funeral Scams: Neue perfide Online-Betrugsmasche auf Facebook

Britische Bestattungsunternehmen haben bereits reagiert und weisen darauf hin, dass ihre Beerdigungen nicht gelivestreamt werden.

2 Tagen ago