Forscher entdeckt zufällig Zero-Day-Lücke in Windows 7 und Server 2008

Ein französischer Sicherheitsforscher ist per Zufall auf eine Sicherheitslücke gestoßen, die in Windows 7 und Windows Server 2008 R2 steckt. Eigentlich arbeitete er an einem Update für ein Windows-Sicherheitstool.

Die Zero-Day-Lücke basiert auf zwei falsch konfigurierten Registry-Einträgen für den RPC Endpoint Mapper sowie die DNSCache Services. Sie gehören zu jeder Windows-Installation.

Ein Angreifer mit physischem Zugriff auf ein System ist laut der Analyse von Clément Labro in der Lage, diese beiden Registry-Schlüssel so zu verändern, dass ein Unterschlüssel aktiviert wird. Der wiederum gehöre zum Windows Performance Monitoring System.

Diese Art von Unterschlüssel soll eigentlich die Überwachung der Leistung einer App ermöglichen. Zu diesem Zweck erlauben sie es Entwicklern aber auch, eigene DLL-Dateien zu laden, um selbst entwickelte Tools zur Leistungsüberwachung einsetzen zu können. Diese Funktion bieten dem Forscher zufolge zwar auch aktuelle Windows-Versionen, sie beschränken jedoch die Ausführung der DLL-Dateien – nicht jedoch Windows 7 und Server 2008, die an dieser Stelle System-Rechte gewähren.

Microsoft konnte der Forscher vorab nicht über die Schwachstelle informieren. Er stieß erst auf die Anfälligkeit, nachdem er sein Sicherheitstool PrivescCheck aktualisiert hatte. Es sucht in Windows nach fehlerhaften Sicherheitseinstellungen, die Malware für eine nicht autorisierte Ausweitung von Nutzerrechten verwenden kann. Erst nach der Veröffentlichung des Updates fand er heraus, dass eine neu eingeführte Prüffunktion die fraglichen „schwachen“ Registry-Einträge markierte.

Zu dem Zeitpunkt sei es bereits zu spät gewesen, um Microsoft vertraulich über das Problem zu informieren. Stattdessen entschloss er sich, seine Erkenntnisse in einem Blogeintrag öffentlich zu machen.

Eine Stellungnahme von Microsoft steht noch aus. Unklar ist, ob der Softwarekonzern einen Patch anbieten wird, da Windows 7 und Server 2008 R2 offiziell nicht mehr unterstützt werden. Lediglich Kunden, die die kostenpflichtigen Extended Support Updates gebucht haben, haben noch Anspruch auf sicherheitsrelevante Korrekturen.

Ein inoffizieller Patch liegt indes vom Sicherheitsanbieter Acros Security vor. Er ist über die Sicherheitssoftware 0patch des Unternehmens erhältlich und soll verhindern, dass Cyberkriminelle die Zero-Day-Lücke für ihre Zwecke nutzen können.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Botnet greift Linux-Server an

Linux ist keine Insel der Seligen. Linux-Server werden von Hackern angegriffen, die diese in ihr…

2 Stunden ago

Gartner erwartet Wachstum der IT-Ausgaben um 6,2 Prozent

Gartner erwartet, dass die weltweiten IT-Ausgaben in diesem Jahr 3,9 Billionen Dollar erreichen werden, da…

9 Stunden ago

Attacke auf SonicWall

Der Netzwerkgerätehersteller SonicWall untersucht einen Sicherheitsverstoß in seinem internen Netzwerk, nachdem ein koordinierter Angriff festgestellt…

13 Stunden ago

SAP und Microsoft bauen Kooperation aus

SAP und Microsoft erweitern ihre langjährige Partnerschaft: Im Fokus stehen dabei aktuell Microsoft Teams sowie…

13 Stunden ago

Cisco warnt vor SD-WAN-Schwachstellen

Cisco warnt seine Kunden, ihre Netzwerksoftware sofort zu aktualisieren und weist auf vier kritische Sicherheitsschwachstellen…

3 Tagen ago

Lernsoftware BRAINIX erhöht Aufmerksamkeit

Schultests an drei bayerischen Gymnasien haben ergeben, dass die Lernsoftware BRAINIX die Aufmerksamkeit der Schülerinnen…

3 Tagen ago