[English]Ende des Jahres wurde ein neuer 0-Day Bug in Windows bekannt, der es Angreifern ermöglicht, Dateien zu überschreiben. Hier einige Informationen zu diesem neuen Bug.
Anzeige
Der 0-Day Bug in Windows wurde im Dezember 2018 durch einen Hacker mit dem Alias SandboxEscaper entdeckt, wie Bleeping Computer hier berichtet. Der Hacker hatte in der Vergangenheit bereits drei weitere 0-Day Bugs in Windows veröffentlicht.
Bug im Error Reporting System
Der 0-Day Bug befindet sich im Windows Error Reporting-System und ermöglicht in Windows 10 Dateien, für die ein Benutzer normalerweise keine Berechtigungen hat, zu überschreiben.
Dieses nutzt die Tatsache, dass das Windows Error Reporting-Tool in der Aufgabenplanung ausgeführt werden kann (siehe obige Screenshot). Ein Proof of Concept (PoC) wurde von SandboxEscaper auf GitHub veröffentlicht. Dieser PoC-Code überschreibt die Datei 'pci.sys' mit Informationen über Soft- und Hardwareprobleme, die über Windows Error Reporting (WER) gesammelt wurden.
Anzeige
Pci.sys' ist eine Systemkomponente, die für das korrekte Booten des Betriebssystems erforderlich ist, da sie physische Geräteobjekte auflistet.
Laut SandboxEscaper könnten auch anderen Dateien über diesen Ansatz überschrieben werden. Der Hacker spekuliert: "Sie können den PoC auch verwenden, um möglicherweise AV-Software von Drittanbietern zu deaktivieren".
Der Hack ist recht unzuverlässig
Der 0-Day-Bug ist aktuell wohl eher unkritisch, eine Ausnutzung in the wild erscheint unwahrscheinlich. Der Hacker schreibt dazu, dass der vom PoC genutzte Effekt nicht garantiert sei und der Exploit mit einigen Einschränkungen versehen ist. Er konnte auf einigen Systemen mit bestimmten CPUs nicht beobachtet werden. Zum Beispiel lässt sich der Fehler nicht auf einer Maschine mit einem CPU-Kern reproduzieren. Es kann auch einige Zeit dauern, bis überhaupt ein Effekt auftritt. Der PoC ist nämlich von einer Race Condition abhängig, bei der ein Prozess schneller als ein andere Zugriff auf Ressourcen erhält.
This latest 0day from SandboxEscaper requires a lot of patience to reproduce. And beyond that, it only *sometimes* overwrites the target file with data influenced by the attacker. Usually it's unrelated WER data.https://t.co/FnqMRpLy77 pic.twitter.com/jAk5hbr46a
— Will Dormann (@wdormann) 29. Dezember 2018
Dies wird von Will Dormann, einem Schwachstellenanalytiker bei CERT/CC., bestätigt. Dormann konnte den Fehler bei Windows 10 Home, Build 17134 reproduzieren. Allerdings schreibt Dormann, dass das Überschreiben nicht konsistent erfolgt.
Microsoft an Weihnachten informiert
Der Hacker schickte Microsoft vor Weihnachten eine E-Mail und kündigte am 25. Dezember 2018 an, dass er das PoC für einen neuen Bug in Windows am Neujahrstag veröffentlichen würde (siehe folgendes Bild).
Er änderte aber zwei Tage später seine Meinung und veröffentlichte die Details bereits Ende Dezember 2018. Generell scheint SandBoxEscaper eine ziemlich frustrierte Persönlichkeit zu sein (siehe auch diesen reddit-Thread), da jeder seiner veröffentlichten PoCs irgendwie ziemlich holprig und unerwartet veröffentlicht wurde. Zudem deaktiviert der Hacker die Accounts immer wieder (oder bekommt diese deaktiviert). Die PoCs sind auch meist nicht so gestrickt, dass sie eine einfache Ausnutzung ermöglichen.
Ende August veröffentlichte er z.B. einen Exploit, der die Berechtigungen für SYSTEM unter Windows über eine Schwachstelle in der Task Scheduler-Komponente erhöht. Das wurde inzwischen durch Microsoft gepatcht. Ende Oktober 2018 berichtete er einen weiteren Privilege Escalation Bug in Windows, der das Löschen einer Datei ohne administrative Berechtigungen ermöglichte. Am 19. Dezember veröffentlichte er einen PoC-Code, der das Lesen geschützter Dateien ermöglichte. Bleeping Computer berichtet hier etwas ausführlicher.
Ähnliche Artikel
Neue Windows 0-day-Schwachstelle (20.12.2018)
Windows 10 Zero-Day-Exploit in Microsoft Data Sharing
Windows ALPC-Schwachstelle (CVE-2018-8440) in Exploit-Kit
Windows ALPC 0-day-Lücke wird durch Malware ausgenutzt
Neue Windows ALPC Zero-Day-Schwachstelle entdeckt
Anzeige