Windows Schwachstelle CVE-2019-0859 wird ausgenutzt

Publiziert am 16. April 2019 von Günter Born

[English]Im April 2019 wurde die Schwachstelle CVE-2019-0859 in Windows von Microsoft durch eine Sicherheitsupdate geschlossen. Sicherheitsforscher von Kaspersky haben bereits mehrfach Angriffe beobachtet, die diese Schwachstelle in Windows 7 bis 10 ausnutzen wollten.

Anzeige

Das Thema ist mir von Kaspersky über Twitter zugetragen worden. Nachfolgend habe ich ein paar Informationen aufbereitet.

Schwachstelle CVE-2019-0859 in Windows

Die Schwachstelle CVE-2019-0859 steckt in Win32k.sys und ermöglicht Angreifern eine Rechteausweitung (Elevation of Privilege). Die Schwachstelle besteht in Windows, wenn die Win32k-Komponente Objekte im Speicher nicht ordnungsgemäß verarbeitet. Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code im Kernelmodus ausführen. Er könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Um diese Schwachstelle auszunutzen, muss sich ein Angreifer allerdings zunächst am System anmelden. Dann könnte er eine speziell entwickelte Anwendung ausführen, die die Schwachstelle ausnutzen und die Kontrolle über ein betroffenes System übernehmen könnte. Die Schwachstelle CVE-2019-0859 existiert zwar in allen Windows-Versionen, lässt sich aber nicht remote ausnutzen. Allerdings könnte Malware, die als Download oder Mail-Anhang an Benutzer ausgeliefert wird, diese Schwachstelle ausnutzen.

Microsoft hat im April 2019 die Schwachstelle hier dokumentiert und in den noch unterstützten Windows-Versionen durch ein Update gepatcht. Die KB-Nummern der betreffenden Updates sind im verlinkten Artikel aufgelistet. Das Problem ist lediglich, dass diese Updates in Verbindung mit diversen Sicherheitsprodukten von Avast, Avira und Sophos Installationsprobleme auslösen (siehe Windows 7 und Server Update KB4493472 & Co. frieren Systeme ein und die Linkliste am Artikelende). So mancher Anwender und Administrator hat die Updates daher vorerst ausgeblendet.

Kaspersky entdeckt Exploit im März 2019

In einem Tweet weisen die Sicherheitsspezialisten von Kaspersky darauf hin, dass die Schwachstelle CVE-2019-0859 in win32k.sys wohl aktiv angegriffen wird.

Bereits im März 2019 haben Sicherheitsforscher von Kaspersky mittels der in den Produkten eingesetzten proaktiven Sicherheitstechnologien einen Angriffsversuch per Exploit auf die Win32k.sys entdeckt. Die Analyse ergab die Zero-Day-Schwachstelle CVE-2019-0859 in win32k.sys. Kaspersky hat dann Microsoft informiert.

Anzeige

Nachdem Microsoft diese Schwachstelle letzte Woche gepatcht hat, legt Kaspersky einige Informationen offen. Der Sicherheitsanbieter schreibt in diesem Dokument, dass es sich bei CVE-2019-0859 um eine Use-After-Free-Schwachstelle in der Systemfunktion, die verfügbare Dialogfenster, genauer gesagt deren ergänzende Stile, handhabt, handelt. Das bei Angriffsversuchen gefundene ITW-Exploit-Muster hatte laut Kaspersky alle 64-Bit-Betriebssystemversionen von Windows 7 bis zu den neuesten Builds von Windows 10 im Visier.

Durch den Exploit der Schwachstelle kann die Malware ein von den Angreifern geschriebenes Skript herunterladen und ausführen. Das kann im schlimmsten Fall dazu führen, dass Angreifer die vollständigen Kontrolle über das infizierte Gerät erhalten. Laut Kaspersky konnte eine bislang nicht identifizierte kriminelle APT-Gruppe unter Verwendung der Schwachstellte ausreichende Privilegien erlangen, um eine mit Windows PowerShell erstellte Backdoor zu installieren.

Theoretisch sollte es den Cyberkriminellen auf diese Weise ermöglicht werden, unentdeckt zu bleiben, schreibt Kaspersky. Über die Backdoor wurde die Nutzlast heruntergeladen, mit deren Hilfe die Cyberkriminellen dann die vollständige Kontrolle über den infizierten Rechner erlangen konnten. Für weitere Details zur Funktionsweise des Exploits, steht dieser Bericht auf Securelist zur Verfügung.

Kaspersky empfiehlt zum Schutz vor diesen Exploits die Installation der betreffenden Sicherheitsupdates sowie die Verwendung einer Sicherheitssoftware aus dem eigenen Hause (die erkennen den Exploit inzwischen). Die Installation der Sicherheitsupdates ist allerdings dann ein Problem, wenn sich diese wegen Problemen nicht installieren lassen.

Ähnliche Artikel:
Microsoft Office Updates (Patchday 2. April 2019)
Microsoft Security Update Summary (9. April 2019)
Patchday: Updates für Windows 7/8.1/Server (9. April2019)
Patchday Windows 10-Updates (9. April 2019)

Windows 7 und Server Update KB4493472 & Co. frieren Systeme ein
Windows 10 und Server: April 2019-Update frieren Systeme ein
Bremst Update KB4493509 Windows 10 V1809 aus?
0-day-Schwachstelle im IE 11 ermöglicht Dateien zu stehlen

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.