Categories: Sicherheit

Google-Forscher machen ungepatchte Windows-10-Lücke öffentlich

Mitarbeiter von Googles Project Zero haben erneut eine Sicherheitslücke in Windows 10 entdeckt. Und erneut war Microsoft offenbar nicht in der Lage, die von Google vorgegebene Frist von 90 Tagen für die Veröffentlichung eines Patches einzuhalten beziehungsweise eine Fristverlängerung mit Google auszuhandeln. Als Folge sind die Details der Schwachstelle seit Freitag für jedermann verfügbar – inklusive Beispielcode für einen Exploit.

Eine Gefahr ergibt sich allerdings nur für bestimmte Nutzer von Windows 10. Der Fehler tritt nur auf, wenn die Sicherheitsfunktion Device Guard aktiviert ist. Das ist unter anderem bei bestimmten Enterprise-PCs sowie unter Windows 10 S der Fall. Er führt dazu dass die Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI) außer Kraft gesetzt wird.

UMCI soll eigentlich sicherstellen, dass alle Prozesse, die im Benutzermodus ausgeführt werden, vertrauenswürdig sind. Das gilt für jegliche Dienste, UWP-Apps oder auch klassische Desktopanwendungen. Nicht vertrauenswürdige Binärdateien wie Schadprogramme sollen indes nicht ausgeführt werden können. Laut James Forshaw, Forscher für Googles Project Zero, kann ein Angreifer jedoch mithilfe der Anfälligkeit erreichen, dass Schadcode sogar dauerhaft ausgeführt wird.

Der Bug selbst steckt in .NET Framework. Aufgrund zwei weiterer ungepatchter Lücken in .NET Framework stuft Forshaw die von der jetzt öffentlich gemachten Zero-Day-Lücke ausgehende Gefahr als eher gering ein. “Das Problem ist nicht so ernst, wie es gewesen wäre, wenn alle bekannten Möglichkeiten für einen Bypass behoben wären.”

Forshaw macht außerdem auch darauf aufmerksam, dass der Fehler nicht zu einer Ausweitung von Nutzerrechten führt. Ein Angreifer benötige zudem einen lokalen Zugang zu einem System und müsse es bereits mit einer Schadsoftware infiziert haben, um den Fehler ausnutzen zu können. Allerdings sei es möglich, den Fehler in .NET mit einem anderen Bug beispielsweise in Edge zu kombinieren, um letztlich doch über ein Netzwerk oder gar das Internet die Device-Guard-Funktion zu umgehen.

Google meldete den Fehler bereits am 19. Januar an Microsoft. Das Unternehmen aus Redmond bestätigte ihn rund drei Wochen später und kündigte an, einen Patch erst im Mai nach Ablauf der Frist veröffentlichen zu können. Als Grund nannte es “nicht vorhersehbare Abhängigkeiten im Code”. Der Fristverlängerung erteilte Google jedoch eine Absage. Auch der später von Microsoft vorgeschlagene Kompromiss, zumindest die Veröffentlichung des Redstone-4-Updates für Windows 10 abzuwarten, wurde von Google zurückgewiesen, mit dem Hinweis, Microsoft haben noch keinen konkreten Termin für die Bereitstellung des Funktionsupdates genannt.

Die Offenlegung von ungepatchten Sicherheitslücken ist umstritten. Sie dient vor allem als Druckmittel, um die Entwicklung von Patches zu beschleunigen. Schließlich könnte ein Fehler auch jederzeit von Cyberkriminellen entdeckt und ausgenutzt werden – dass Fehler von mehreren Forschern unabhängig voneinander aufgespürt wird, ist tatsächlich an der Tagesordnung. Allerdings trägt letztlich der Nutzer die Last der Offenlegung vor Veröffentlichung eines Patches, denn Angriffe würden sich schließlich gegen ihn richten. Der Mittelweg, nämlich Schwachstellen öffentlich zu machen, ohne technische Details preiszugeben, wird bisher verworfen, weil so nicht der notwendige Druck auf den Hersteller ausgebaut werde. Zumindest Google hält sich strikt an die 90-Tage-Frist.

Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer

Kai Schmerer ist Redaktionsdirektor bei NetMediaEurope in Deutschland. Er begann 2000 als Mitglied der Redaktion bei der silicon.de-Schwesterpublikation ZDNet und ist seit 2008 deren Chefredakteur.

Recent Posts

Samsung meldet erstmals seit drei Jahren Gewinnrückgang

Der operative Profit soll um mehr als 30 Prozent einbrechen. Die Nachfrage nach Speicherchips sowie…

4 Stunden ago

Klimasimulation mit Künstlicher Intelligenz

Forscher der TU München und des Potsdamer Institut für Klimafolgenforschung setzen zur Verbesserung der Klimamodellierung…

4 Stunden ago

Mit 5G ohne Fahrer im Auto auf die Straße

Teleoperiertes Auto von MIRA fährt in Köln zum ersten Mal öffentlich vor Publikum.

4 Stunden ago

Wie die EU für Security Skills sorgen will

Ohne die richtige Strategie kann der Fachkräftemangel in der Cybersicherheit nicht gemindert werden. Die EU…

5 Stunden ago

Wie KI die Bearbeitung von Kfz-Schadenfällen beschleunigt

Eine Machine-Learning-Lösung verkürzt den Prozess den Bearbeitung bei carexpert KFZ-Sachverständigen signifikant

20 Stunden ago

Microsoft weitet Verteilung von Windows 11 Version 22H2 aus

Alle Nutzer erhalten das Update nun nach einer manuellen Suche. Es gibt allerdings noch zwei…

1 Tag ago