Categories: SicherheitVirus

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forschern ist es gelungen, einen Patch zu umgehen, den Microsoft für eine Sicherheitslücke im Windows-Druckdienst bereitgestellt hat. Ein Angreifer kann unter Umständen Schadcode mit erhöhten Benutzerrechten ausführen, wie Bleeping Computer berichtet.

Eigentlich sollte ein im Mai veröffentlichter Fix die Schwachstelle CVE-2020-1048 beseitigen. Entdeckt und an Microsoft gemeldet wurde die ursprüngliche Anfälligkeit von den Forschern Peleg Hadar und Tomer Bar von SafeBreach Labs. Sie steckt in der Druckwarteschlange. Sie fanden auch heraus, dass der Patch nicht wirksam ist.

Details zu der neuen Sicherheitslücke, die die Kennung CVE-2020-1337 erhalten hat, sind nicht bekannt. Sie sollen erst nach Freigabe eines neuen Patches öffentlich gemacht werden – geplant ist eine Bereitstellung im Rahmen des August-Patchdays am 11. August.

CVE-2020-10418 beschreibt Microsoft als eine „Sicherheitsanfälligkeit“, bei der „der Windows-Druckerspoolerdienst fälschlicherweise beliebiges Schreiben in das Dateisystem ermöglicht. Ein lokaler Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit erweiterten Systemberechtigungen ausführen. Der Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten erstellen.“

Laut Bleeping Computer ist es möglich, speziell gestaltete Dateien in den Ordner der Druckwarteschlange abzulegen, die dann beim nächsten Start des Betriebssystems verarbeitet werden. So gelang es ihnen, eine getarnte DLL-Datei in den System32-Ordner zu kopieren.

„Als Bonus luden mehrere Windows-Dienste unsere DLL (wbemcomn.dll), da sie die Signatur nicht verifizierten, und versuchten, die DLL von einem nicht existierenden Pfad zu laden, was bedeutete, dass wir auch Codeausführung erhielten“, ergänzten die Forscher.

Zwar funktioniert dieser Angriff auf Systemen, die den Mai-Patch installiert haben, nicht mehr, die Lücke in dem Patch soll allerdings zu ähnlich Ergebnissen führen.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

USA verbieten WeChat und TikTok

Das US-Handelsministerium kündigte am Freitag, 18. September an, dass es ab Sonntag, 20. September das…

24 Stunden ago

Mozilla schaltet Firefox Send und Firefox Notes ab

Wegen Sicherheitsmängeln und Mitarbeiterabbau verschlankt Mozilla sein Portfolio. Firefox Send und Firefox Notes fallen dem…

1 Tag ago

BSI warnt vor Citrix VPN-Schwachstelle

Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) weist darauf hin, dass es wahrscheinlich eine…

1 Tag ago

Web-Sites langfristig bewahren

Cloudflare und Internet Archive haben sich zusammengeschlossen, um mehr vom öffentlichen Web zu archivieren und…

1 Tag ago

Patientin stirbt nach Ransomware-Angriff

Cyberkriminelle greifen zunehmend Universitäten und Krankenhäuser mit Lösegeldangriffen an. In Deutschland gab es deswegen heute…

2 Tagen ago

Wie Prozessautomatisierung bevorstehende Budgetkürzungen auffangen kann

Die letzten Wochen haben es gezeigt: Noch nie war der Zusammenhang zwischen dem Digitalisierungsgrad eines…

2 Tagen ago