Project Zero: Windows-Texteingabesystem bietet viele Angriffsmöglichkeiten

Ein Systemdienst für Texteingabemethoden, das es seit Windows XP gibt, wurde offenbar mit wenig Sicherheitsbewusstsein entwickelt. Tavis Ormandy von Google gelang es damit, als Nutzer Systemrechte zu erlangen. Es gibt ein Update von Microsoft, doch das behebt wohl nicht alle Probleme.

Artikel veröffentlicht am ,
Ein System für Texteingabemethoden unter Windows ist offenbar eine reichhaltige Quelle für Sicherheitslücken.
Ein System für Texteingabemethoden unter Windows ist offenbar eine reichhaltige Quelle für Sicherheitslücken. (Bild: Mohylek, Wikimedia Commons/CC-BY-SA 3.0)

Das Text Services Framework, ein Systemdienst unter Windows zur Verwaltung von Texteingabemethoden, hat zahlreiche Sicherheitsprobleme. Darüber berichtet Tavis Ormandy von Googles Project Zero in einem detaillierten Blogpost. Das Texteingabesystem dient dazu, Eingabemethoden für fremde Sprachen wie etwa das chinesische Pinyin-System bereitzustellen oder alternative Eingabemethoden wie etwa Spracherkennung zu ermöglichen.

Stellenmarkt
  1. Mathematiker in der iGaming Branche (w/m/d)
    Gamomat Development GmbH, Berlin
  2. IT-Administrator (m/w/d)
    BSS IT GmbH, Nürnberg
Detailsuche

Ormandy stieß auf diesen Systemservice, während er die Kommunikation zwischen verschiedenen Fenstern unter Windows analysierte. Windows-Prozesse können an die Fenster anderer Prozesse bestimmte Nachrichten schicken, diese werden dabei mit einem Sicherheitssystem gefiltert, das etwa verhindert, dass unpriviligierte Prozesse auf solche mit Systemrechten zugreifen können. Dabei bemerkte Ormandy, dass bestimmte Befehle, die mit dem Texteingabesystem zusammenhingen, nicht gefiltert wurden.

"Obskures Legacy-Protokoll voll von Memory-Corruption-Lücken"

Den entsprechenden Service, der mit dem Kürzel CTF bezeichnet wird - wofür die Abkürzung steht ist unklar - gibt es seit Windows XP mitgeliefert. "Es wird niemanden überraschen dass ein komplexes, obskures Legacy-Protokoll voll von Memory-Corruption-Sicherheitslücken ist", schreibt Ormandy. Er fand eine Reihe von Funktionen, in denen sich Sicherheitslücken ausnutzen ließen.

Ormandy bemerkte weiterhin, dass der Login-Bildschirm, der permanent im Hintergrund und mit Systemrechten läuft, ebenfalls mit dem Texteingabesystem kommuniziert. Durch Ausnutzen einiger Sicherheitslücken konnte Ormandy damit die Kontrolle über den Login-Bildschirm erlangen und somit als normaler Nutzer Code mit Systemrechten ausführen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Doch das dürfte nur die Spitze des Eisbergs sein. Das ganze System bietet eine große Angriffsfläche. Wenn Eingabemethoden für Sprachen wie Chinesisch, Koreanisch oder Japanisch installiert sind, hat das CTF-System besonders viele Möglichkeiten. So ist es laut Ormandy damit praktisch trivial möglich, Text an andere Fenster zu schicken oder eingegebenen Text auszulesen. Wenn ein Nutzerprozess läuft und gleichzeitig etwa eine Administrator-Konsole, ist es damit ebenfalls möglich, Rechte auszuweiten, da man dort Befehle eintippen kann.

Auch Sandbox-Ausbrüche möglich

Dazu kommt, dass die Kommunikation mit dem CTF-System auch von Prozessen im Sandbox-System Appcontainer ausgehen kann. Dieses Konzept dient eigentlich dazu, Anwendungen komplett vom Rest des Systems abzuschotten.

Wie es bei Googles Project Zero üblich ist, hat Ormandy Microsoft 90 Tage Zeit gelassen, um das Problem zu beheben. Aus dem Fehlerbericht bei Project Zero geht hervor, dass Microsoft offenbar lange Zeit nicht kommuniziert hatte, wie das Unternehmen mit dem Fehler umgehen wolle. Ormandy hatte nach eigenen Angaben mehrfach angeboten, die Probleme im Detail zu erklären und bei der Entwicklung von Fixes zu helfen.

Erst Ende Juli meldete sich Microsoft und diskutierte die geplanten Fehlerkorrekturen mit Ormandy in einer Telefonkonferenz. Aus dem Bericht geht hervor, dass Microsoft offenbar zu diesem Zeitpunkt für einige der Probleme noch keine Lösungen hatte.

Ormandy hat die Patches, die Microsoft jetzt veröffentlicht hat, bisher nicht analysiert, da diese erst knapp vor der Veröffentlichung fertig waren. Er geht davon aus, dass die gefährlichsten Angriffsvektoren geschlossen sind, aber weiterhin Probleme bestehen bleiben. Die Patches sind Teil des jüngsten Sicherheitsupdates für Windows, das alle Nutzer zeitnah installieren sollten.

Ormandy hat für die Entwicklung der verschiedenen Angriffsmethoden ein eigenes Tool entwickelt. Es steht unter der freien Apache-2-Lizenz und kann auf Github heruntergeladen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Bundestagswahl 2021: Laschet und Scholz wollen beide Kanzler werden
    Bundestagswahl 2021
    Laschet und Scholz wollen beide Kanzler werden

    Die Union erzielt bei der Bundestagswahl 2021 ihr bislang schlechtestes Ergebnis. Dennoch will Spitzenkandidat Laschet Kanzler einer "Zukunftskoalition" werden.

  2. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

  3. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /