Google macht aktiv ausgenutzte Zero-Day-Lücke in Windows öffentlich

Sicherheitsforscher von Google haben Details zu einer Zero-Day-Lücke in Windows veröffentlicht. Bisher liegt nicht nur kein Patch für die Anfälligkeit vor, sie wird auch bereits aktiv für Hackerangriffe ausgenutzt. Laut Ben Hawkes, Teamleiter von Googles Project Zero, wird Microsoft das Loch jedoch mit den November-Updates, die in der kommenden Wochen bereitgestellt werden, stopfen.

Hawkes zufolge wird die Zero-Day-Lücke in Windows zusammen mit einer weiteren Zero-Day-Lücke eingesetzt, die im Google-Browser Chrome steckt. Letztere hatte sein Team Ende Oktober geschlossen.

Die Chrome-Schwachstelle erlaubte es Angreifern, Schadcode aus der Ferne einzuschleusen und innerhalb des Browsers auszuführen. Verknüpft mit dem ungepatchten Fehler in Windows war es zudem möglich, die Sandbox von Chrome zu verlassen und den Schadcode in das zugrundeliegende Betriebssystem einzuschleusen.

Microsoft wurde von Google in der vorletzten Woche über das Problem informiert. Da es sich um eine bereits von Hackern eingesetzte Zero-Day-Lücke handelte, gab Google dem Softwarekonzern lediglich sieben Tage, um eine Update zu entwickeln – die Frist konnte Microsoft offenbar nicht einhalten.

Laut Googles Project Zero steckt die Schwachstelle im Windows-Kernel und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Betroffen sind demnach alle Versionen des Microsoft-OS von Windows 7 bis einschließlich Windows 10. Googles Bericht enthält zudem Beispielscode, mit dem sich ein Angriff nachvollziehen lässt.

Zu den Hintermännern der laufenden Attacken schweigt sich Google jedoch aus. Es ist nicht ausgeschlossen, dass es sich um eine Kampagne handelt, hinter der staatlich gestützte Hacker stecken. Laut Shane Huntley von Googles Threat Analysis Group besteht jedoch kein Zusammenhang zu irgendwelchen Hackeraktivitäten, die sich gegen die US-Wahlen richten.

Es ist nicht das erste Mal, das Hacker zuvor unbekannte Anfälligkeiten in Windows und Chrome kombinieren, um ihre Ziele zu erreichen. Ein ähnliches Szenario deckten Google-Forscher auch im März 2019 auf.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kunst per KI

Eine neue KI-gestützte Generation von Bildgeneratoren wie Midjourney und Dall-E wühlt die Kunstszene auf. Kommerzielle…

12 Stunden ago

Neue Betas für Red Hat Enterprise Linux

Red Hat verbessert mit den Betas von Red Hat Enterprise Linux RHEL 8.7 und 9.1…

12 Stunden ago

Phishing-Angriffe mit gefälschten Stellenangeboten

Nordkoreanische Hacker nutzen Open-Source-Software und gefälschte Stellenangebote für Phishing-Angriffe auf LinkedIn, um Entwickler und IT-Mitarbeiter…

13 Stunden ago

Cyberbedrohungen: Vorstände zu optimistisch

Deutsche Führungskräfte schätzen Cyberschwachstellen am besten ein, müssen aber am Verhältnis zum CISO arbeiten.

13 Stunden ago

Gefahr durch Kontoübernahme (ATO)

Kontoübernahme (Account Takeover, ATO) wird für E-Commerce-Anbieter immer bedrohlicher. Die Hacker konzentrieren sich nicht mehr…

13 Stunden ago

Security Awareness und menschliche Risiken

Passend zum Security Awareness Month im Oktober beleuchtet Lance Spitzner, Director Security Awareness beim SANS…

16 Stunden ago