Nach Bluehammer: Frustrierter Forscher leakt weiteren Windows-Exploit
Der unter dem Namen Chaotic Eclipse bekannte Sicherheitsforscher, der erst kürzlich mit dem Bluehammer-Exploit für Aufsehen sorgte, hat mit Redsun kurz nach dem April-Patchday einen weiteren Zero-Day-Exploit geleakt. Dieser gefährdet abermals unzählige Windows-Systeme. Angreifer mit einfachen Benutzerrechten können sich damit, ebenso wie bei Bluehammer, Systemrechte verschaffen.
Die Ursache liegt den Angaben zufolge beim Windows Defender. Auf Github(öffnet im neuen Fenster) schreibt Chaotic Eclipse, er würde die Leute normalerweise selbst herausfinden lassen, wie der Exploit funktioniere. Bei Redsun könne er das aber nicht, weil der Fehler "einfach viel zu lustig" sei.
"Wenn Windows Defender feststellt, dass eine bösartige Datei ein Cloud-Tag hat – aus welchem dummen und absurden Grund auch immer -, entscheidet das Antivirenprogramm, das eigentlich davor schützen soll, dass es eine gute Idee ist, die gefundene Datei einfach wieder an ihren ursprünglichen Speicherort zu schreiben", erklärt der Forscher. Dies lasse sich ausnutzen, um Systemdateien zu überschreiben und erhöhte Rechte zu erlangen.
Noch kein Patch verfügbar
Dass der Exploit funktioniert, bestätigt auch der Sicherheitsforscher Will Dormann auf Mastodon(öffnet im neuen Fenster) mit mehreren Screenshots. Er erklärt, mit Redsun ließen sich mit einer Zuverlässigkeit von 100 Prozent Systemrechte erlangen, solange der Windows Defender aktiv sei. Das funktioniere nicht nur unter Windows 10 und 11, sondern auch auf Windows-Server-Systemen.
Einen Patch scheint es noch nicht zu geben. Laut Dormann funktioniert der Exploit auch auf Windows-Systemen, auf denen die erst am Dienstag veröffentlichten April-Updates installiert sind. Ob Microsoft Redsun in Kürze mit einem Notfallpatch begegnen wird oder die betroffenen Windows-Systeme nun bis zum Mai-Patchday ungeschützt bleiben, bleibt abzuwarten.
Chaotic Eclipse dürfte Redsun absichtlich kurz nach dem Patchday veröffentlicht haben. Schon bei dem Bluehammer-Debakel zeigte sich Chaotic Eclipse frustriert über die Art und Weise, wie das Microsoft Security Response Center (MSRC) nach Meldung der Schwachstellen mit ihm umgegangen war. In einem neuen Blogbeitrag(öffnet im neuen Fenster) teilt der Forscher erneut seinen Unmut bezüglich Microsoft, ohne jedoch konkrete Details zu nennen, was genau vorgefallen ist.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.