Mai 2016 Zero-Day-Exploit in Windows?

[English]Momentan wird in russischen Untergrundforen ein Zero-Day-Exploit angeboten, der eine Local Privilege Escalation (LPE) Sicherheitslücke nutzt. Der Exploit kann wohl auf alle voll gepatchten Windows-Systeme, von Windows 2000 bis hin zu Windows 10 angewandt werden – selbst bei Verwendung von EMET.


Anzeige

Es gibt ein Angebot …

Die Geschichte ist momentan noch etwas "undurchsichtig" – denn naturgemäß sind solche "Untergrund-Angebote" nur für Insider verifizierbar. Fakt ist aber, dass in einem russischen Untergrundforum (exploit[dot]in) ein Zero-Day-Exploit für alle Windows-Versionen ab Windows 2000 bis zum aktuellen Windows 10 angeboten wird. Der Preis für das Exploit liegt bei mindestens 95.000 US $. Und das Angebot resultiert vom 11. Mai 2016 – also nach dem Microsoft Patch-Day. Bei trustwave.com findet sich ein übersetzter Textauszug des "Angebots":

"Dear friends, I offer you a rare product.

Description:

Exploit for local privilege escalation (LPE) for a 0day vulnerability in win32k.sys. The vulnerability exists in the incorrect handling of window objects, which have certain properties, and [the vulnerability] exists in all OS [versions], starting from Windows 2000. [The] exploit is implemented for all OS architectures (x86 and x64), starting from Windows XP, including Windows Server versions, and up to current variants of Windows 10. …

The exploit successfully escapes from ILL/appcontainer (LOW), bypassing (more precisely: doesn't get affected at all [by]) all existing protection mechanisms such as ASLR, DEP, SMEP, etc. [The exploit] relies solely on the KERNEL32 and USER32 libraries [DLLs].

Der Zero-Day-Exploit hat es in sich …

Der Anbieter kann das Exploit in zwei Varianten liefern. Eine Variante nutzt eine einfache Privilege Escalation-Lücke, um einem vorgegebenen Prozess SYSTEM-Rechte zu gewähren. Alternativ lässt sich mit dem Exploit jedem Prozess das Privileg zuweisen, Code in Ring0 (Kernel-Mode) auszuführen.

Geringe Hoffnung, dass alles nur ein Fake ist

Könnte natürlich alles ein riesiger Fake sein – aber Sicherheits-Blogger Brian Krebs weist in diesem Artikel darauf hin, dass die "Reputation der Anbieter" im fraglichen Untergrundforum deren Kapital sei. Nur wer als "vertrauenswürdig" gilt, hat Chancen, einen Käufer für sein Angebot zu finden. Der "Anbieter" mit dem Nick BuggiCorp benutzt den Forenadministrator als "Treuhänder" (Escrow) und dieser hat auch die obige englischsprachige Übersetzung des Angebots erstellt. Weiterhin wurden von BuggiCorp zwei YouTube-Videos eingestellt, die den Exploit in Aktion zeigen.

(Quelle: YouTube)

Das erste Video zeigt den Exploit auf einem voll gepatchten Windows 10-System. Mit dem Exploit werden der Eingabeaufforderung erfolgreich SYSTEM-Privilegien zugewiesen.

(Quelle: YouTube)

Das zweite Video demonstriert, wie auch der Schutz durch das Enhanced Mitigation Experience Toolkit (EMET) umgangen werden kann. Momentan muss davon ausgegangen werden, dass das Angebot authentisch ist.


Anzeige

Wenn das Teil in the wild gelangt, dann ist Matthäus am Letzten

Falls der Zero-Day-Exploit "in the wild" gelangt, kann er für jegliche Art Angriffe benutzt werden. Speziell die Möglichkeit, Code in Ring0 auszuführen, eröffnet die Installation als Root-Kit. Insbesondere Administratoren von Windows Server sollten sich Sorgen machen, da diese ebenfalls angreifbar sein sollen. Es reicht, wenn jemand begrenzte Zugriffsrechte, z.B. auf einen SQL-Server, hat, um SYSTEM-Privilegien zu erhalten. Bei Clients eröffnen der Adobe Flash-Player, der Adobe PDF-Reader, möglicherweise Microsoft Office-Dokumente etc. Angriffsszenarien.

Gibt es Gegenmaßnahmen?

Gegenmaßnahmen sind ohne Details schwierig – die einzige Strategie besteht darin, die Systeme auf aktuellem Patch-Stand zu halten und zu hoffen, dass Microsoft die Lücke entdeckt (möglicherweise den Exploit selbst kauft) und patcht. Problem aus meiner Sicht: Mit den Telemetrie-Updates für Windows 7/8.1-Systeme sowie mit dem Zwangs-Upgrade-Ansatz auf Windows 10 gibt es zwischenzeitlich eine ganze Anzahl an Nutzern, die Windows Update deaktiviert haben. Nennt man wohl einen Bärendienst, den die Marketing-Experten von Microsoft ihren Sicherheitsleuten erwiesen haben.

Zweiter Ansatz: IT-Verantwortliche können die Nutzer vor der Gefahr zu warnen – so dass diese nicht auf jeden Link und jede Datei, die nicht bei 3 vom Screen verschwunden ist, klicken.

Ähnliche Artikel:
Neue Lücke in ImageMagick/GraphicsMagick
Sicherheitsthemen zum 31. Mai 2016
WordPress: XSS-Sicherheitslücke in Jetpack Plug-In


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Mai 2016 Zero-Day-Exploit in Windows?

  1. deo sagt:

    Das Windows Update starte ich bei Windows 7 manuell, wenn es etwas zu patchen gibt.
    Da wird man ja hier vortrefflich informiert. :-)

    • sandy sagt:

      Schade, dass es diese Option in Windows 10 nicht mehr gibt. Wie oft kommen fehlerhafte Patches heraus, die man nicht mehr zurückstellen oder ausblenden kann… Und leider werden diese Patches, sobald sie herauskommen, allesamt installiert. Ich kann nur hoffen, dass ich nicht die Einzige bin, die das einfach nur schlimm findet und MS auch in seinem Betriebssystem Windows 10 über kurz oder lang wieder die Möglichkeit bietet, Updates nach Erscheinen zwar anzuzeigen, dem Nutzer jedoch selbst den Zeitpunkt zu überlassen, wann er sie installiert. Auch die Option, einzelne Updates auszublenden, sollte m.E. nach unbedingt wieder eingeführt werden!

  2. Pingback: Anonymous

  3. Malte sagt:

    Bei MS hoffe ich schon lange nicht mehr auf veränder/bersserung ich hoffe nur noch das es irgendwann ein System gibt welches bezahlbar ist und welches Windows ersetzen kann.
    Alternativ könnte Apple sein System so umbauen das man es auf jede Maschine packen kann das wäre vielleicht auch akzeptabel.
    Aber sollte sich diese Sicherheitslücke bewahrheiten dann hätten viele ein großes Problem.
    Sicher weis ich auch das ein alternatives System nicht unfehlbar ist jedoch hätten die Nutzer vermutlich ein besseres System und Arbeitserlebnis mit dem Computer.
    Vielleicht sollte man auch einmal Software komplett neuschreiben und nicht immer auf altem aufbauen von dem man weis das es fehlerhaft ist.
    Und wer jetzt sauer auf seinen Computer ist der sollte sich an die eigene Nase fassen denn die Fehler die vermeintlich der Computer macht macht immer der Mensch denn der bedient ihn.
    Das soll jetzt aber nicht heißen das alles schlecht ist sondern in Teilen fehlerhaft, es gibt ja auch richtig gute Software .

    • Hansi sagt:

      Reactos entwickelt sich momentan ganz gut weiter, nachdem es die letzten Jahre ziemlich langsam ging. Reactos ist halt immer noch alpha und bei weitem nicht bereit für Produktionszwecke, aber es läuft in Teilbereichen schon erstaunlich viel. Ich würde aber nicht erwarten, daß das heutige Reactos sicherer wäre als das Windows XP/7/10, da geht es jetzt ja erstmal darum, die gesamte Windows-Infrastruktur hochzuziehen.

      Das Problem ist halt eher, daß Reactos mit etwas Glück in ein paar Jahren 99.99% Windows XP/7 kompatibel sein wird, also fast alles laufen wird, dann aber Windows 10, Universal Apps usw Standard sein werden, zumindest wenn es nach MS geht.

      • Malte sagt:

        Da ist er wieder der Prototyp vom Prototypen (React OS).
        Nein Spaß bei Seite React OS wird langsam aber zu langsam wenn das Teil einmal fertig ist dann ist es schon 10 Jahre alt bevor es einer produktiv verwendet hat es kommt daher nicht in Frage als Windows Ersatz.

  4. Günter Born sagt:

    Aktuell läuft wohl eine Auktion für den Zero-Day-Exploit in einem russischen Untergrundforum (der Preis ist leicht gesunken).

    Quelle

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.