Kernel-Zero-Day für Windows: Microsoft kündigt Patch an und beschuldigt Russland

Der Softwarehersteller Microsoft hat für die kommende Woche einen Patch für eine Privilege-Escalation-Sicherheitslücke in Windows angekündigt, wie das Unternehmen in einem Security Advisory schreibt. Das Update für die von Google entdeckte Sicherheitslücke soll am 8. November, dem Tag der US-Präsidentschaftswahl, ausgeliefert werden. Hinter den Angriffen steckt nach Angaben von Microsoft die Gruppe APT28, die Microsoft intern als Strontium bezeichnet. Gängiger sind die Namen Fancy Bear oder Sofacy.

Google hatte die Schwachstelle am 21. Oktober an Microsoft gemeldet und die Informationen sieben Tage später veröffentlicht - nach den eigenen, durchaus umstrittenen Regeln für Schwachstellen, die bereits aktiv ausgenutzt werden. Google selbst hatte keine genaueren Angaben zum Urheber der aktuellen Exploit-Kampagne gemacht. Microsoft spricht nun von einer "niedrigschwelligen Spear-Phishing-Kampagne" durch APT 28. Der Gruppe werden Verbindungen zur russischen Regierung zugeschrieben.

Damit würde hinter der Attacke die gleiche Gruppe stecken, die auch für den Hack der E-Mails und anderer Informationen der demokratischen Partei in den USA stecken soll. Die zahlreichen Leaks prägen derzeit den Wahlkampf, Wikileaks veröffentlicht regelmäßig E-Mails von Hillary Clintons Kampagnenleiter John Podesta. In einem außergewöhnlichen Schritt hatten die US-Behörden Russland offiziell beschuldigt, US-Infrastruktur angegriffen zu haben, um die Wahlen zu manipulieren.

Schutz in Edge und für Firmenkunden

Microsoft gibt an, dass Nutzer des Edge-Browsers geschützt sind, wenn sie derzeit auf dem aktuellen Update-Stand sind. In Windows 10 wird das in Edge integrierte Flash-Plugin über Windows Update aktualisiert, entfernen lässt es sich vom Nutzer nicht. Außerdem sollen Firmenkunden durch Regeln für die Windows Defender Advanced Threat Protection vor dem Exploit geschützt sein - zu den standardmäßig auf Endkundenrechnern installierten Security Essentials macht Microsoft keine Angaben. Von der Sicherheitslücke betroffen sind alle Windows-Versionen von Windows Vista bis Windows 10.

Dies gilt aber nur für den von Googles Threat Analysis Group konkret beschriebenen Fall einer aktiven Kampagne. Angreifer könnten also bis zum Patch der Lücke in der wichtigen Bibliothek win32k.sys die Schwachstelle weiterhin ausnutzen. Microsoft hatte sich verärgert gezeigt, weil Google die Schwachstelle nach kurzer Frist ohne weitere Koordination veröffentlicht hatte und beschuldigt das Unternehmen, Microsoft-Kunden zu gefährden.

Mit dem Update am 8. November folgt Microsoft dem üblichen Rhythmus des Patch Tuesday, der zumeist am zweiten Dienstag des Monats stattfindet, in Ausnahmefällen auch am vierten Dienstag eines Monats. Adobe hatte die Lücke vergangene Woche mit einem Notfallpatch außerhalb der regulären Planung geschlossen.