Nutzer, die die im Rahmen des Februar-Patchdays bereitgestellten Sicherheitsupdates noch nicht installiert haben, sollten dies nun dringend zumindest für Windows 10 nachholen. Google hat am vergangenen Donnerstag nämlich Beispielcode für einen Exploit veröffentlicht, mit dem sich eine kritische Anfälligkeit in Windows 10 bis einschließlich Version 20H2 ausnutzen lässt. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen.
Die Schwachstelle steckt in der Komponente DirectWrite. Sie steht Windows-Anwendungen zur Verfügung, um Schriftzeichen darzustellen. Unter anderem greifen Browser wie Chrome, Firefox und Edge auf DirectWrite zurück, um Web-Schriftarten korrekt anzuzeigen.
Diesen Umstand macht sich auch Googles Proof-of-Concept zunutze. Mateusz Jurczyk und Dominik Röttsches von Googles Project Zero entwickelten eine speziell gestaltete TrueType-Schriftart, in der bestimmte Parameter verändert wurden. Zusammen mit einer HTML-Datei, die die Schriftart enthält, ermöglicht es der Beispielcode über jeden beliebigen Browser die Schwachstelle in DirectWrite mit der Kennung CVE-2021-24093 anzusprechen.
Die Komplexität eines solchen Angriffs stuft auch Microsoft als gering ein. Ein Opfer muss lediglich dazu verleitet werden, eine von den Angreifern kontrollierte HTML-Datei im Internet zu öffnen. Eine E-Mail mit einem Link und ein wenig Social Engineering wäre hier bereits ein erfolgsversprechender Ansatz.
Der von Google bereitgestellte Beispielcode alleine wird es Hackern allerdings nicht ermöglichen, Schadcode aus der Ferne einzuschleusen und auszuführen: Google löst lediglich einen Speicherfehler aus, bei dem Versuch, das Zeichen “Æ” darzustellen. Dieser könne dann allerdings für eine Remotecodeausführung im Context des DirectWrite-Clients benutzt werden. Der Proof-of-Concept ist somit nur dafür gedacht, den Fehler selbst mit einem Browser nachzuvollziehen.
Microsoft verteilt seinen Patch für die Anfälligkeit seit 9. Februar. Er ist in den aktuell verfügbaren kumulativen Updates für Windows 10 enthalten, darunter Build 190412.804 für Windows 10 Version 2004 und Build 19042.804 für Version 20H2.
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.