Google macht aktiv ausgenutzte Zero-Day-Lücke in Windows öffentlich

Sicherheitsforscher von Google haben Details zu einer Zero-Day-Lücke in Windows veröffentlicht. Bisher liegt nicht nur kein Patch für die Anfälligkeit vor, sie wird auch bereits aktiv für Hackerangriffe ausgenutzt. Laut Ben Hawkes, Teamleiter von Googles Project Zero, wird Microsoft das Loch jedoch mit den November-Updates, die in der kommenden Wochen bereitgestellt werden, stopfen.

Hawkes zufolge wird die Zero-Day-Lücke in Windows zusammen mit einer weiteren Zero-Day-Lücke eingesetzt, die im Google-Browser Chrome steckt. Letztere hatte sein Team Ende Oktober geschlossen.

Die Chrome-Schwachstelle erlaubte es Angreifern, Schadcode aus der Ferne einzuschleusen und innerhalb des Browsers auszuführen. Verknüpft mit dem ungepatchten Fehler in Windows war es zudem möglich, die Sandbox von Chrome zu verlassen und den Schadcode in das zugrundeliegende Betriebssystem einzuschleusen.

Microsoft wurde von Google in der vorletzten Woche über das Problem informiert. Da es sich um eine bereits von Hackern eingesetzte Zero-Day-Lücke handelte, gab Google dem Softwarekonzern lediglich sieben Tage, um eine Update zu entwickeln – die Frist konnte Microsoft offenbar nicht einhalten.

Laut Googles Project Zero steckt die Schwachstelle im Windows-Kernel und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Betroffen sind demnach alle Versionen des Microsoft-OS von Windows 7 bis einschließlich Windows 10. Googles Bericht enthält zudem Beispielscode, mit dem sich ein Angriff nachvollziehen lässt.

Zu den Hintermännern der laufenden Attacken schweigt sich Google jedoch aus. Es ist nicht ausgeschlossen, dass es sich um eine Kampagne handelt, hinter der staatlich gestützte Hacker stecken. Laut Shane Huntley von Googles Threat Analysis Group besteht jedoch kein Zusammenhang zu irgendwelchen Hackeraktivitäten, die sich gegen die US-Wahlen richten.

Es ist nicht das erste Mal, das Hacker zuvor unbekannte Anfälligkeiten in Windows und Chrome kombinieren, um ihre Ziele zu erreichen. Ein ähnliches Szenario deckten Google-Forscher auch im März 2019 auf.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Störung bei Microsoft betrifft Fluglinien, Banken und Unternehmen weltweit

Auslöser ist ein Update für eine Sicherheitslösung von CrowdStrike. Sie lässt Windows-Hosts abstürzen und in…

2 Tagen ago

Bericht: USA erwägen weitere Chip-Sanktionen gegen China

US-Regierungsvertreter führen angeblich Gespräche in den Niederlanden und den USA. Die geplanten neuen Sanktionen basieren…

2 Tagen ago

Vier von fünf Deutschen sind auch im Urlaub online

Für berufliche Belange steht die Hälfte der Berufstätigen jedoch nicht zur Verfügung. Allerdings sind 15…

3 Tagen ago

Cyberkriminelle nutzen Youtube-Streamjacking rund um das Trump-Attentat

Vermeintliche Video-Deepfake-Kommentare von Elon Musk locken auf kriminelle Seiten zur angeblichen Bitcoin-Verdopplung.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript-Engine V8. Angreifbar sind Chrome für Windows, macOS und…

4 Tagen ago

VMware-Alternativen: Diese Möglichkeiten bieten andere Anbieter, Open Source und die Cloud

Die Übernahme von VMware durch Broadcom schlägt in der IT-Welt hohe Wellen. Die Produkt- und…

4 Tagen ago