Windows_7_Vertical_Logo_Web
Ein französischer Sicherheitsforscher ist per Zufall auf eine Sicherheitslücke gestoßen, die in Windows 7 und Windows Server 2008 R2 steckt. Eigentlich arbeitete er an einem Update für ein Windows-Sicherheitstool.
Ein Angreifer mit physischem Zugriff auf ein System ist laut der Analyse von Clément Labro in der Lage, diese beiden Registry-Schlüssel so zu verändern, dass ein Unterschlüssel aktiviert wird. Der wiederum gehöre zum Windows Performance Monitoring System.
Diese Art von Unterschlüssel soll eigentlich die Überwachung der Leistung einer App ermöglichen. Zu diesem Zweck erlauben sie es Entwicklern aber auch, eigene DLL-Dateien zu laden, um selbst entwickelte Tools zur Leistungsüberwachung einsetzen zu können. Diese Funktion bieten dem Forscher zufolge zwar auch aktuelle Windows-Versionen, sie beschränken jedoch die Ausführung der DLL-Dateien – nicht jedoch Windows 7 und Server 2008, die an dieser Stelle System-Rechte gewähren.
Microsoft konnte der Forscher vorab nicht über die Schwachstelle informieren. Er stieß erst auf die Anfälligkeit, nachdem er sein Sicherheitstool PrivescCheck aktualisiert hatte. Es sucht in Windows nach fehlerhaften Sicherheitseinstellungen, die Malware für eine nicht autorisierte Ausweitung von Nutzerrechten verwenden kann. Erst nach der Veröffentlichung des Updates fand er heraus, dass eine neu eingeführte Prüffunktion die fraglichen „schwachen“ Registry-Einträge markierte.
Zu dem Zeitpunkt sei es bereits zu spät gewesen, um Microsoft vertraulich über das Problem zu informieren. Stattdessen entschloss er sich, seine Erkenntnisse in einem Blogeintrag öffentlich zu machen.
Eine Stellungnahme von Microsoft steht noch aus. Unklar ist, ob der Softwarekonzern einen Patch anbieten wird, da Windows 7 und Server 2008 R2 offiziell nicht mehr unterstützt werden. Lediglich Kunden, die die kostenpflichtigen Extended Support Updates gebucht haben, haben noch Anspruch auf sicherheitsrelevante Korrekturen.
Ein inoffizieller Patch liegt indes vom Sicherheitsanbieter Acros Security vor. Er ist über die Sicherheitssoftware 0patch des Unternehmens erhältlich und soll verhindern, dass Cyberkriminelle die Zero-Day-Lücke für ihre Zwecke nutzen können.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Die beliebte E-Commerce-Plattform Magento, jetzt unter dem neuen Namen Adobe Commerce, enthält Schwachstellen, die Hacker…
Die Bewältigung und Reduzierung des Risikos von Angriffe auf die Operation Technologie (OT) ist eine…
Energiemanagement kann zu Ökologie und Ökonomie einen wesentlichen Beitrag leisten. Was das bedeutet, erfahren Sie…
Der SAP-Sicherheits-Spezialist integriert seine Security-Plattform mit Sentinel und wird Mitglied der Microsoft Intelligent Security Association…
KMUs profitieren vom digitalen Wandel und neuen Geschäftsmodellen der IT-Anbieter, berichtet Karolin Köstler, Senior Marketing…
Ransomware-Banden wie Black Cat setzen vermehrt auf Teilverschlüsselung, um sich besser zu tarnen. So können…
