Neues zum Windows win32k.sys-Zero-Day-Exploit CVE-2016-7855

Microsoft hat gestern noch einige Details zur aktuell bekannt gewordenen, aber ungepatchten Sicherheitslücke (Zero-Day-Exploit) in Windows bekannt gegeben.


Anzeige

Die Sicherheitslücke CVE-2016-7855 bezieht sich auf Adobe Flash und wurde von Microsoft am 26. Oktober 2016 geschlossen (siehe Microsoft Flash-Sicherheits-Update 27.10.2016 für Windows). Gestern hat Google dann zwei Zero-Day-Exploits öffentlich gemacht (siehe Beitrag Google Chrome schließt Sicherheitslücken (auch einen ungepatchten Windows-Zero-Day-Exploit) vom 1. November 2016).

Im Beitrag wurde berichtet, dass der Chrome-Browser die in der win32k.sys API-Funktion NtSetWindowLongPtr() bestehende Sicherheitslücke schließt, indem diese Aufrufe nicht benutzt werden. Die Sicherheitslücke soll angeblich aktiv ausgenutzt werden, um Angreifern ein Ausbrechen aus der Sandbox des Browsers zu ermöglichen. Ein Patch existiert noch nicht.

Es gab von Microsoft ein Statement, in der die Veröffentlichung durch Google kritisiert wurde. Und im oben verlinkten Blog-Beitrag hatte ich darauf hingewiesen, dass die Lücke durch das Flash-Update möglicherweise weniger gravierend sein könnte.

Nun hat Microsoft reagiert und ein paar Informationen im Blog-Beitrag Our commitment to our customer's security veröffentlicht (danke an Julia für den Link im Kommentarnachtrag). Es werden die beiden von Google veröffentlichten Sicherheitslücken bestätigt. Die Lücken wurden wohl durch die Gruppe, mit dem von Microsoft intern benutzten, Namen STRONTIUM in einem Spear-Phishing-Angriff aktiv ausgenutzt.


Anzeige

Microsoft hat in einem Sicherheits-Report (PDF) ein paar Details zu Strontium veröffentlicht. Die Gruppe ist seit 2007 aktiv und ist im Bereich Trojaner aktiv, die sensitive Informationen (Regierungen, NATO, Diplomaten, Militär, Journalisten, Aktivisten etc.) aufspüren soll. Andere Sicherheitsforscher benennen die Gruppe mit APT28, 1 Sednit, 2 Sofacy, 3 oder auch Fancy Bear. In 2016 hat Microsoft festgestellt, dass die Gruppe mehr Zero-Day-Exploits als jede andere Hackergruppe ausnutzen wollte. Man geht davon aus, dass staatliche Stellen hinter APT28 stecken.

Die Sicherheitslücke CVE-2016-7855 bezieht sich auf den Adobe Flash-Player, welche dem Angreifer die Kontrolle über den Browser ermöglicht (Ausbruch aus der Sandbox). Konkret wurde eine use-after-free-Schwachstelle in der Flash ActionScript-Runtime als angreifbar identifiziert. Diese Schwachstelle ist jetzt geschlossen.

Bei einem erfolgreichen Angriff konnten die Hacker eine Backdoor auf dem System installieren. Diese wird dann im Browser ausgeführt. Microsoft weist im Blog-Beitrag darauf hin, das Benutzer des Edge-Browsers unter Windows 10 Anniversary Update vor dieser Lücke geschützt seien. Stichwort ist Edge natively implements Code Integrity. Nutzer des Internet Explorer (und anderer Browser) sind in Windows 10 durch Device Guard (siehe auch) geschützt. Aber man muss wissen, dass Device Guard nur für Windows 10 Enterprise unter gewissen Einschränkungen nutzbar ist.

Die Zusatzlösungen Windows Defender ATP und Office 365 ATP für Unternehmen können die Angriffe ebenfalls erkennen. Neben der Kritik an Googles Vorpreschen kündigt Microsoft an, den Patch bald auszuliefern, so dass auch andere Systeme geschützt sind. Konkret hat Microsoft bereits ein Update entwickelt, was momentan intern und mit Partnern getestet wird. Dessen Veröffentlichung ist für den kommenden Patchday, 8. November 2016, geplant. Bei Reuters gibt es übrigens noch diesen Artikel (englisch) zum Thema.

Ähnliche Artikel:
Adobe Flash: Notfall-Patch 26.10.2016
Microsoft Flash-Sicherheits-Update 27.10.2016 für Windows
Google Chrome schließt Sicherheitslücken (auch einen ungepatchten Windows-Zero-Day-Exploit)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Neues zum Windows win32k.sys-Zero-Day-Exploit CVE-2016-7855

  1. Tim sagt:

    "In 2016 hat Microsoft festgestellt, dass die Gruppe mehr Zero-Day-Exploits als jede andere Hackergruppe ausnutzen wollte."

    …eher spannend, das die seit 2007 so viele (mehr?) Zero-Day-Exploits zusammen bekommen und das sie es seit fast 10 Jahren schaffen, Regierungen, NATO, Diplomaten, Militär, Journalisten, Aktivisten etc. offenbar so gezielt erwischen, das Forscher direkt mehrere Namen für die ominöse unbekannte, vielleicht staatliche geförderte, Gruppe erfinden.
    Fancy Bear ist doch schon süß, oder?

    Vielleicht sind die Forscher auch nur schlau genug, durch die verschiedenen Namen die unterschiedlichen Regierungen zu unterscheiden, welche dieses bekloppte Nachrichtendienstspielchen im Netz spielen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.