Windows: Ungepatchte Sicherheitslücke veröffentlicht

Windows Logo (Bild: Microsoft)

Ein Google-Forscher hat die Schwachstelle entdeckt. Sie ermöglicht Angreifern den Zugriff auf Administratorrechte. Allerdings benötigen sie dafür ein gültiges Log-in. Microsoft weiß seit dem 30. September 2014 Bescheid und arbeitet an einen Patch.

Ein Google-Forscher hat eine Schwachstelle in Windows veröffentlicht. Sie betrifft die jüngste Version von Microsofts Betriebssystem. Mit der Sicherheitslücke können Angreifer unter Windows 8.1 ihre Rechte erhöhen. Sie befindet sich in der internen Funktion AhcVerifyAdminContext. Öffentliche Informationen gibt es zu ihr offenbar nicht. Dem Entdecker zufolge ist sie nicht Teil der eigentlichen Benutzerkontensteuerung (UAC).

Das Leck hat der Google-Mitarbeiter mit dem Handle “forshaw” – also offenbar James Forshaw von Project Zero – nur auf einem System mit Windows 8.1 inklusive aller Patches untersucht. Zudem präsentierte er einen Proof-of-Concept-Code. Unklar ist noch, ob er sich auch unter früheren Windows-Versionen verwenden lässt.

Beispielcode für eine Windows-Schwachstelle verschafft dem Taschenrechner Administratorrechte (Screenshot: Google).
Beispielcode für eine Windows-Schwachstelle verschafft dem Taschenrechner Administratorrechte (Screenshot: Google).

Microsoft hat bereits erklärt, dass es an einem Patch arbeite. “Wichtig ist der Hinweis, dass ein potenzieller Angreifer, um sie auszunutzen, schon über gültige Zugangsdaten verfügen und sich lokal einloggen müsste.” Als Schutz empfiehlt es eine aktuelle Antivirensoftware, Installation aller Sicherheitsupdates und Aktivierung der Firewall.

Wie Google mitteilt, hat es den Softwarekonzern aus Redmond bereits am 30. September 2014 über den Fehler informiert. Forshaw hatte seinen Befund an diesem Tag über eine interne Google-Liste kommuniziert. Grundsätzlich veröffentlicht Project Zero Details nach drei Monaten. Man überprüfe jedoch regelmäßig, ob eine Anpassung des Zeitlimits sinnvoll sei. Die Zero Day Initiative von HP TippingPoint beispielsweise sieht vier Monate Frist vor.

Die Basis von Forshaws Beispielcode ist an sich nicht sehr bedrohlich, auch wenn er sich für üblere Zwecke anpassen lässt. Er macht den Windows-Taschenrechner zum Administrator. Bei einem Versuch von ZDNet.com stufte die laufende Antivirensoftware Norton Security beide Dateien des Proof-of-Concept als Schadsoftware ein.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.