Forscher entdeckt zufällig Zero-Day-Lücke in Windows 7 und Server 2008

Ein französischer Sicherheitsforscher ist per Zufall auf eine Sicherheitslücke gestoßen, die in Windows 7 und Windows Server 2008 R2 steckt. Eigentlich arbeitete er an einem Update für ein Windows-Sicherheitstool.

Die Zero-Day-Lücke basiert auf zwei falsch konfigurierten Registry-Einträgen für den RPC Endpoint Mapper sowie die DNSCache Services. Sie gehören zu jeder Windows-Installation.

Ein Angreifer mit physischem Zugriff auf ein System ist laut der Analyse von Clément Labro in der Lage, diese beiden Registry-Schlüssel so zu verändern, dass ein Unterschlüssel aktiviert wird. Der wiederum gehöre zum Windows Performance Monitoring System.

Diese Art von Unterschlüssel soll eigentlich die Überwachung der Leistung einer App ermöglichen. Zu diesem Zweck erlauben sie es Entwicklern aber auch, eigene DLL-Dateien zu laden, um selbst entwickelte Tools zur Leistungsüberwachung einsetzen zu können. Diese Funktion bieten dem Forscher zufolge zwar auch aktuelle Windows-Versionen, sie beschränken jedoch die Ausführung der DLL-Dateien – nicht jedoch Windows 7 und Server 2008, die an dieser Stelle System-Rechte gewähren.

Microsoft konnte der Forscher vorab nicht über die Schwachstelle informieren. Er stieß erst auf die Anfälligkeit, nachdem er sein Sicherheitstool PrivescCheck aktualisiert hatte. Es sucht in Windows nach fehlerhaften Sicherheitseinstellungen, die Malware für eine nicht autorisierte Ausweitung von Nutzerrechten verwenden kann. Erst nach der Veröffentlichung des Updates fand er heraus, dass eine neu eingeführte Prüffunktion die fraglichen „schwachen“ Registry-Einträge markierte.

Zu dem Zeitpunkt sei es bereits zu spät gewesen, um Microsoft vertraulich über das Problem zu informieren. Stattdessen entschloss er sich, seine Erkenntnisse in einem Blogeintrag öffentlich zu machen.

Eine Stellungnahme von Microsoft steht noch aus. Unklar ist, ob der Softwarekonzern einen Patch anbieten wird, da Windows 7 und Server 2008 R2 offiziell nicht mehr unterstützt werden. Lediglich Kunden, die die kostenpflichtigen Extended Support Updates gebucht haben, haben noch Anspruch auf sicherheitsrelevante Korrekturen.

Ein inoffizieller Patch liegt indes vom Sicherheitsanbieter Acros Security vor. Er ist über die Sicherheitssoftware 0patch des Unternehmens erhältlich und soll verhindern, dass Cyberkriminelle die Zero-Day-Lücke für ihre Zwecke nutzen können.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Einzelhändler im IT-Sicherheitsdilemma

Die beliebte E-Commerce-Plattform Magento, jetzt unter dem neuen Namen Adobe Commerce, enthält Schwachstellen, die Hacker…

7 Stunden ago

Digitale Risiken proaktiv mindern

Die Bewältigung und Reduzierung des Risikos von Angriffe auf die Operation Technologie (OT) ist eine…

8 Stunden ago

Energiemanagement für Nachhaltige Produktion

Energiemanagement kann zu Ökologie und Ökonomie einen wesentlichen Beitrag leisten. Was das bedeutet, erfahren Sie…

8 Stunden ago

SecurityBridge integriert SAP-Security-Lösung in die SIEM-Plattform Microsoft Sentinel

Der SAP-Sicherheits-Spezialist integriert seine Security-Plattform mit Sentinel und wird Mitglied der Microsoft Intelligent Security Association…

9 Stunden ago

Warum Software-Anbieter KMUs für sich entdecken

KMUs profitieren vom digitalen Wandel und neuen Geschäftsmodellen der IT-Anbieter, berichtet Karolin Köstler, Senior Marketing…

3 Tagen ago

Ransomware mit Teilverschlüsselung

Ransomware-Banden wie Black Cat setzen vermehrt auf Teilverschlüsselung, um sich besser zu tarnen. So können…

3 Tagen ago