Microsoft warnt vor Zero-Day-Lücke in Windows 10

Stefan Beiersmann,
Windows 10 (Bild: ZDNet.de)

Betroffen sind offenbar alle aktuellen Versionen des Betriebssystems. Die Schwachstelle erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft bietet einen Workaround an, der sich möglicherweise nicht mit Backup-Software von Drittanbietern verträgt.

Microsoft weist auf eine neue Zero-Day-Lücke in Windows 10 hin. Betroffen sind Version 1809 und neuer, wobei Microsoft betont, dass es seine Untersuchung zu der Schwachstelle noch nicht abgeschlossen hat. Ein Angreifer kann unter Umständen Schadcode mit System-Rechten ausführen, um Programme zu installieren, Daten zu verändern oder zu löschen oder gar einen neuen Nutzer mit allen Rechten anzulegen.

Dem Security Bulletin zufolge erlauben “zu freizügige Zugriffskontrolllisten (ACL) Zugriffe auf Systemdateien, darunter die Security-Accounts-Manager-Datenbank (SAM). Dabei handelt es sich um einen Teil der Registrierungsdatenbank, in dem unter anderem Anmeldeinformationen abgelegt werden.

Da die Schwachstelle lediglich eine nicht autorisierte Ausweitung von Benutzerrechten ermöglicht, benötigt ein Angreifer einen Zugang zu einem ungepatchten System, der ihm wiederum das Ausführen von Code erlaubt. Ein Patch ist laut Microsoft in Arbeit.

Derzeit bietet das Unternehmen lediglich eine Behelfslösung an. Über die Befehlszeile oder die Windows PowerShell können die Berechtigungen für die Registrierdatenbank eingeschränkt werden. Zudem müssen alle zuvor angelegten Systemwiederherstellungspunkte und Volume-Schattenkopien entfernt werden. Eine Anleitung dazu findet sich in Microsofts Security Bulletin. Nutzer sollen demnach beachten, dass durch die Löschung von Wiederherstellungspunkten und Schattenkopien möglicherweise die Wiederherstellungsfunktionen von Backup-Anwendungen von Drittanbietern eingeschränkt werden.

Die Schwachstelle ermöglicht es nicht-autorisierten Benutzern, sensible Dateien zu lesen, die normalerweise nur für Administratoren zugänglich sind”, kommentiert Satnam Narang, Staff Research Engineer bei Tenable. “Eine erfolgreiche Ausnutzung dieses Fehlers würde einem lokalen Angreifer die Möglichkeit geben, seine Privilegien zu erhöhen, Passwörter und Schlüssel zu sammeln sowie Zugriff auf einen Account zu erhalten, um einen Silver-Ticket-Angriff durchzuführen.”

Ob Microsoft auf die Zero-Day-Lücke mit einem außerplanmäßigen Update reagiert, bleibt abzuwarten. Der nächste reguläre Patchday findet am 10. August statt.