Erneut Zero-Day-Lücke in Windows-Diagnose-Tool entdeckt

Stefan Beiersmann,
Linkedin
Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Microsoft lehnt bisher die Entwicklung eines Patches ab. Ein Angreifer kann unter Umständen eine ausführbare Datei einschleusen. Der Sicherheitsanbieter 0patch stellt einen inoffiziellen Fix zur Verfügung.

Im Microsoft Support Diagnostic Tool (MSDT) steckt offenbar eine weitere Zero-Day-Lücke. Sie wurde bereits im Dezember 2019 entdeckt und an Microsoft gemeldet. Der Softwarekonzern entschloss sich jedoch im Januar 2020, keinen Fix für die Schwachstelle zu entwickeln. Aufgrund der Aufmerksamkeit, die das MSDT wegen einer anderen Zero-Day-Lücke jüngst erfahren hat, hat der Sicherheitsanbieter 0patch nun auch für diese Anfälligkeit einen inoffiziellen Patch entwickelt.

Die als DogWalk bezeichnete neue Zero-Day-Lücke erlaubt es unter Umständen, schädliche Dateien in einem beliebigen Verzeichnis eines ungepatchten Windows-Rechners abzulegen. In einem Proof-of-Concept schleusten die Forscher eine ausführbare Datei in den Autostart-Ordner von Windows ein. Von dem Problem betroffen sind alle Versionen von Windows und Windows Server ab Windows 7 sowie Windows Server 2008.

Der eigentliche Fehler steckt in der Bibliothek sdiageng.dll, die wiederum zum Microsoft Support Diagnostic Tool gehört. Die Bibliothek verarbeitet einen von einem Angreifer gelieferten Verzeichnispfad, der wiederum in einer XML-Datei innerhalb eines Archivs vom Typ „diagcab“ hinterlegt ist. Darüber wiederum ist es möglich, eine auf einem externen WebDav-Laufwerk abgelegte Datei in ein beliebiges lokales Verzeichnis zu kopieren. Ein Opfer muss lediglich dazu verleitet werden, eine Diagcab-Datei zu öffnen.

Das Problem ist, dass der Name der Datei unzureichend geprüft wird. Wird eine Datei mit dem Namen „\..\..\..\..\..\..\..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malicious.exe“ per WebDav zum Kopieren angeboten, werden die für Dateinamen unter Windows unzulässigen Zeichen wie „\“ entfernt, sodass letztlich die Datei „malicious.exe“ im Startup-Ordner landet. Von dort wird sie dann automatisch beim nächsten Start von Windows, sobald sich ein Nutzer anmeldet, ausgeführt.

0patch weist zudem darauf hin, dass es möglich ist, den Download einer Datei im Diagcab-Format über WebDav zu erreichen, indem ein Opfer lediglich dazu verleitet wird, auf einen Link zu klicken. Auch gehöre MSDT zu den Windows-Anwendungen, nicht vor dem Öffnen von Dateien aus dem Internet warnt.

„Eine solche Datei wird von allen gängigen Browsern, einschließlich Microsoft Edge, munter heruntergeladen, indem einfach(!) eine Website besucht wird, und es ist nur ein einziger Klick (oder Fehlklick) in der Download-Liste des Browsers erforderlich, um sie zu öffnen. Dabei wird keine Warnung angezeigt, im Gegensatz zu jeder anderen bekannten Datei, die den Code eines Angreifers ausführen kann. Aus Sicht des Angreifers handelt es sich also um eine gut ausnutzbare Schwachstelle, die alle Windows-Versionen bis zurück zu Windows 7 und Server 2008 betrifft“, begründete 0patch die Entwicklung seines inoffiziellen Patches.

Den inoffiziellen Patch bietet das Unternehmen kostenlos an. Allerdings ist eine Registrierung bei 0patch erforderlich.