Windows 10: 0-Day Bug ermöglicht Dateien zu überschreiben

[English]Ende des Jahres wurde ein neuer 0-Day Bug in Windows bekannt, der es Angreifern ermöglicht, Dateien zu überschreiben. Hier einige Informationen zu diesem neuen Bug.


Anzeige

Der 0-Day Bug in Windows wurde im Dezember 2018 durch einen Hacker mit dem Alias SandboxEscaper entdeckt, wie Bleeping Computer hier berichtet. Der Hacker hatte in der Vergangenheit bereits drei weitere 0-Day Bugs in Windows veröffentlicht.

Bug im Error Reporting System

Der 0-Day Bug befindet sich im Windows Error Reporting-System und ermöglicht in Windows 10 Dateien, für die ein Benutzer normalerweise keine Berechtigungen hat, zu überschreiben.

0-Day Bug in Windows
(Zum Vergrößern klicken)

Dieses nutzt die Tatsache, dass das Windows Error Reporting-Tool in der Aufgabenplanung ausgeführt werden kann (siehe obige Screenshot). Ein Proof of Concept (PoC) wurde von SandboxEscaper auf GitHub veröffentlicht. Dieser PoC-Code überschreibt die Datei 'pci.sys' mit Informationen über Soft- und Hardwareprobleme, die über Windows Error Reporting (WER) gesammelt wurden.


Anzeige

Pci.sys' ist eine Systemkomponente, die für das korrekte Booten des Betriebssystems erforderlich ist, da sie physische Geräteobjekte auflistet.

Laut SandboxEscaper könnten auch anderen Dateien über diesen Ansatz überschrieben werden. Der Hacker spekuliert: "Sie können den PoC auch verwenden, um möglicherweise AV-Software von Drittanbietern zu deaktivieren".

Der Hack ist recht unzuverlässig

Der 0-Day-Bug ist aktuell wohl eher unkritisch, eine Ausnutzung in the wild erscheint unwahrscheinlich. Der Hacker schreibt dazu, dass der vom PoC genutzte Effekt nicht garantiert sei und der Exploit mit einigen Einschränkungen versehen ist. Er konnte auf einigen Systemen mit bestimmten CPUs nicht beobachtet werden. Zum Beispiel lässt sich der Fehler nicht auf einer Maschine mit einem CPU-Kern reproduzieren. Es kann auch einige Zeit dauern, bis überhaupt ein Effekt auftritt. Der PoC ist nämlich von einer Race Condition abhängig, bei der ein Prozess schneller als ein andere Zugriff auf Ressourcen erhält.

Dies wird von Will Dormann, einem Schwachstellenanalytiker bei CERT/CC., bestätigt. Dormann konnte den Fehler bei Windows 10 Home, Build 17134 reproduzieren. Allerdings schreibt Dormann, dass das Überschreiben nicht konsistent erfolgt.

Microsoft an Weihnachten informiert

Der Hacker schickte Microsoft vor Weihnachten eine E-Mail und kündigte am 25. Dezember 2018 an, dass er das PoC für einen neuen Bug in Windows am Neujahrstag veröffentlichen würde (siehe folgendes Bild).

Tweet zu 0-Day-Bug

Er änderte aber zwei Tage später seine Meinung und veröffentlichte die Details bereits Ende Dezember 2018. Generell scheint SandBoxEscaper eine ziemlich frustrierte Persönlichkeit zu sein (siehe auch diesen reddit-Thread), da jeder seiner veröffentlichten PoCs irgendwie ziemlich holprig und unerwartet veröffentlicht wurde. Zudem deaktiviert der Hacker die Accounts immer wieder (oder bekommt diese deaktiviert). Die PoCs sind auch meist nicht so gestrickt, dass sie eine einfache Ausnutzung ermöglichen.

Ende August veröffentlichte er z.B. einen Exploit, der die Berechtigungen für SYSTEM unter Windows über eine Schwachstelle in der Task Scheduler-Komponente erhöht. Das wurde inzwischen durch Microsoft gepatcht. Ende Oktober 2018 berichtete er einen weiteren Privilege Escalation Bug in Windows, der das Löschen einer Datei ohne administrative Berechtigungen ermöglichte. Am 19. Dezember veröffentlichte er einen PoC-Code, der das Lesen geschützter Dateien ermöglichte. Bleeping Computer berichtet hier etwas ausführlicher.

Ähnliche Artikel
Neue Windows 0-day-Schwachstelle (20.12.2018)
Windows 10 Zero-Day-Exploit in Microsoft Data Sharing
Windows ALPC-Schwachstelle (CVE-2018-8440) in Exploit-Kit
Windows ALPC 0-day-Lücke wird durch Malware ausgenutzt
Neue Windows ALPC Zero-Day-Schwachstelle entdeckt


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.