Microsoft hat doppelten Zero-Exploit geschlossen

SicherheitMicrosoft hat im Mai 2018 gleich zwei Zero-Day-Sicherheitslücken in Windows-Kernel und in Adobes PDF-Readern geschlossen. Dies geht aus einem Microsoft-Beitrag hervor.


Anzeige

Im Artikel Taking apart a double zero-day sample discovered in joint hunt with ESET schreibt man, dass die Lücken in Zusammenarbeit mit ESET entdeckt und dann geschlossen wurden. Ende März 2018 stieß ein Microsoft Mitarbeiter auf ein PDF-Beispiel, gefunden von ESET Senior Malware Researcher Anton Cherepanov. Das Beispiel wurde ursprünglich an Microsoft als potenzieller Exploit für eine unbekannte Windows-Kernelschwachstelle gemeldet. Während der weiteren Untersuchung, parallel zu ESET-Forschern, entdeckte der Microsoft-Mitarbeiter zwei neue Zero-Day-Exploits im selben PDF. Ein Exploit betraf Adobe Acrobat und Reader, während der andere ältere Plattformen, Windows 7 und Windows Server 2008, betraf.

Der erste Exploit greift die Adobe JavaScript-Engine an, um Shellcode im Kontext dieses Moduls auszuführen. Der zweite Exploit, der sich nicht auf Plattformen wie Windows 10 auswirkt, erlaubt es dem Shellcode, die Sandbox des Adobe Readers zu verlassen und mit erhöhten Rechten aus dem Windows-Kernelspeicher zu laufen. Microsoft und Adobe haben inzwischen entsprechende Sicherheitsupdates veröffentlicht:

Weitere Details lassen sich die Microsoft-Dokument entnehmen. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft hat doppelten Zero-Exploit geschlossen

  1. Stefan Kanthak sagt:

    Jeder NICHT völlig ahnungslose Administrator hatte den zweiten Exploit auf seinen Installationen von Windows 7 und Windows Server 2008 R2 durch Setzen von

    [HKEY_LOCAL_MACHINE_"SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
    "EnableLowVAAccess"=dword:0

    bereits 3 (in Worten: DREI) Jahre VORHER entschärft.
    Siehe MSKB 3013455 und 3057839.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.