Zero-Day in Windows – Russische Hacker sollen Leck ausnutzen

SicherheitSicherheitsmanagement

Microsoft werde das von der Hackergruppe Strontium verwendete Leck am bevorstehenden Patchday im November beheben. Google will mit der Vorabveröffentlichung einen verantwortungsvolleren Umgang mit Sicherheitslecks erreichen.

Details zu einer Schwachstelle im Windows-Kernel veröffentlicht Googles Threat Analysis Group. Dieses Leckt werde bereits für Angriffe ausgenutzt. Laut den Google-Mitarbeitern Neel Mehta und Billy Leonard zufolge kann ein Angreifer unter Umständen ohne Autorisierung seine Rechte erweitern und zudem Schadcode außerhalb einer Sandbox ausführen.

Die Systemdatei win32k.sys soll das Leck beherbergen. Über die Systemfunktion “NTSetWindowLongPtr()” für den Index “GWLP_ID” lasse sich die Fehlfunktion aufrufen. Allerdings nur, wenn die Funktion “GWL_STYLE” den Fensterstil “WS_CHILD” hat.

avtest_2016-04_firmenloesungen_win10_tabelle (Grafik: AV-Test)
Bei den 12 getesteten Firmen-Antivirenlösungen für Windows 10 belegte Bitdefender ebenfalls die Spitzenposition. (Grafik: AV-Test)

Die Sandbox des hauseigenen Browsers Chrome sei jedoch nicht betroffen. Sie blockiere Systemaufrufe von win32k.sys mithilfe der Win32k-Lockdown-Funktion von Windows 10.

Microsoft hat den Bug inzwischen bestätigt. Ein Fix soll im Rahmen des November-Patchdays am kommenden Dienstag zur Verfügung gestellt werden. Der Softwarekonzern stuft die Schwachstelle als kritisch ein. Zudem kritisierte er die vorzeitige Offenlegung der Zero-Day-Lücke. Sie sei ein “mögliches Risiko” für Nutzer.

Google beruft sich indes auf seine Regeln für einen verantwortungsvollen Umgang mit Sicherheitslücken. Sie sehen vor, dass Hersteller, nachdem sie über eine Schwachstelle informiert wurden, 90 Tage Zeit haben, einen Patch zu entwickeln und zu veröffentlichen. Bei aktiv ausgenutzten Anfälligkeiten reduziert Google diese Frist jedoch auf sieben Tage.

In einem Blog nannte Windows-Chef Terry Myerson zudem Details zu der Spearfishing-Kampagne einer Hackergruppe namens Strontium, die auch als APT28, Sednit, Safacy und Fancy Bear bekannt ist und der russischen Regierung nahe stehen soll. Sie kombiniert zwei Zero-Day-Lücken in Flash Player, die Adobe kürzlich geschlossen hat, mit der Anfälligkeit im Windows-Kernel. Strontium gehe in der Regel gegen Behörden und diplomatische Einrichtungen vor und sei in diesem Jahr für mehr Zero-Day-Lücken verantwortlich als jede andere Gruppierung.

Windows Defender erkennt das Sicherheitsleck, das die Hackergruppe Strontium verwendet. (Bild: Microsoft)
Windows Defenders ATP Detection des Kernel EOP, dem Sicherheitsleck, das die Hackergruppe Strontium verwendet. (Bild: Microsoft)

Myerson betont zudem, dass Nutzer, die Edge unter Windows 10 einsetzen, gegen den aktuellen Angriff geschützt sind. Das sollte auch für Nutzer gelten, die das in der vergangenen Woche veröffentlichte Update für Flash Player installiert haben, da der derzeit benutzte Exploit eine ältere Version von Adobe Flash benötigt, um die Kontrolle über den Browserprozess zu erlangen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen