Sicherheitslücke: Zero Day im Windows-Kernel veröffentlicht

Google hat die Sicherheitslücke nach nur 7 Tagen veröffentlicht, weil sie bereits aktiv ausgenutzt wurde. Patches gibt es nicht.

Artikel veröffentlicht am ,
Die veröffentlichte Sicherheitslücke wird bereits aktiv ausgenutzt.
Die veröffentlichte Sicherheitslücke wird bereits aktiv ausgenutzt. (Bild: Gerd Altmann/Pixabay)

Googles Project Zero hat eine Sicherheitslücke im Windows-Kernel veröffentlicht, die bereits aktiv ausgenutzt wird. Sie wird in Kombination mit anderen Sicherheitslücken in Browsern verwendet, um in das System eindringen zu können. Für die Kernel-Sicherheitslücke stehen derzeit keine Patches zur Verfügung.

Stellenmarkt
  1. Betriebswirtin / (Wirtschafts-)Informatikerin / Wirtschaftsingenieurin als SAP-Architektin ... (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
  2. Clinical Trial Associate (f/m/d)
    ITM Isotope Technologies Munich SE, Garching
Detailsuche

Entdeckt wurde die Zero Day (CVE-2020-17087) von den Sicherheitsforschern Mateusz Jurczyk und Sergei Glazunov von Googles Project Zero, die die Lücke am 22. Oktober an Microsoft gemeldet hatten. Nachdem klar war, dass sie bereits aktiv ausgenutzt wurde, hat sich Google nur sieben Tage später dazu entschlossen, die Sicherheitslücke zu veröffentlichen.

"Der Windows-Kernel-Kryptographie-Treiber (cng.sys) stellt ein \Device\CNG-Gerät für User-Mode-Programme bereit und unterstützt eine Vielzahl von IOCTLs mit nicht-trivialen Eingabestrukturen", heißt es in dem Fehlerbericht. Dies stelle eine lokal zugängliche Angriffsfläche dar, die zur Rechteausweitung oder einem Ausbruch aus einer Sandbox genutzt werden könne.

Mehrere Zero Days für Angriff kombiniert

Die Zero Day wird in Kombination mit einer weiteren Sicherheitslücke in der im Chrome- und Edge-Browser verwendeten Freetype-Bibliothek verwendet. Die erste erlaubt das Ausführen von Schadcode innerhalb von Chrome oder Edge, während die zweite ein Ausbruch aus der Browser-Sandbox ermöglicht. Dieses sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Die Lücken in Chrome und Edge wurden bereits behoben, Updates wurden veröffentlicht.

Golem Akademie
  1. PowerShell Praxisworkshop
    20.-23. Dezember 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. C++ 20: Concepts - Ranges - Coroutinen - Module
    14.-18. Februar 2022, online
Weitere IT-Trainings

Die Lücke im Kryptographie-Treiber soll mindestens seit Windows 7 existieren und lässt sich mit einem ebenfalls veröffentlichten Proof-of-Concept-Code (PoC) unter Windows 10 (64Bit) ausnutzen. Ein Patch wird zum 10. November, dem nächsten Patch-Tuesday, erwartet. Derzeit arbeite Microsoft an einem Fix, sagte ein Konzern-Sprecher dem Onlinemagazin The Register.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Newton-Messagepad-Nachfolger: Apples Videopad-Prototyp wird versteigert
    Newton-Messagepad-Nachfolger
    Apples Videopad-Prototyp wird versteigert

    Apples Videopad ist nie in den Verkauf gekommen: Ein Prototyp des Nachfolgers vom Newton Messagepad wird bald versteigert.

  2. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

  3. Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
    Pixel 6 (Pro)
    Googles Tensor-SoC ist eine wilde Mischung

    Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /