Sicherheitslücke: Zero Day im Windows-Kernel veröffentlicht

Google hat die Sicherheitslücke nach nur 7 Tagen veröffentlicht, weil sie bereits aktiv ausgenutzt wurde. Patches gibt es nicht.

Artikel veröffentlicht am ,
Die veröffentlichte Sicherheitslücke wird bereits aktiv ausgenutzt.
Die veröffentlichte Sicherheitslücke wird bereits aktiv ausgenutzt. (Bild: Gerd Altmann/Pixabay)

Googles Project Zero hat eine Sicherheitslücke im Windows-Kernel veröffentlicht, die bereits aktiv ausgenutzt wird. Sie wird in Kombination mit anderen Sicherheitslücken in Browsern verwendet, um in das System eindringen zu können. Für die Kernel-Sicherheitslücke stehen derzeit keine Patches zur Verfügung.

Stellenmarkt
  1. IT Service Desk Agent*in/IT-First-Level-Supp- orter*in
    Fraunhofer-Institut für Windenergiesysteme IWES, Bremerhaven
  2. Fachinformatiker (m/w/d) für Systemintegration zur IT-Administration an den landkreiseigenen ... (m/w/d)
    Landratsamt Schweinfurt, Schweinfurt
Detailsuche

Entdeckt wurde die Zero Day (CVE-2020-17087) von den Sicherheitsforschern Mateusz Jurczyk und Sergei Glazunov von Googles Project Zero, die die Lücke am 22. Oktober an Microsoft gemeldet hatten. Nachdem klar war, dass sie bereits aktiv ausgenutzt wurde, hat sich Google nur sieben Tage später dazu entschlossen, die Sicherheitslücke zu veröffentlichen.

"Der Windows-Kernel-Kryptographie-Treiber (cng.sys) stellt ein \Device\CNG-Gerät für User-Mode-Programme bereit und unterstützt eine Vielzahl von IOCTLs mit nicht-trivialen Eingabestrukturen", heißt es in dem Fehlerbericht. Dies stelle eine lokal zugängliche Angriffsfläche dar, die zur Rechteausweitung oder einem Ausbruch aus einer Sandbox genutzt werden könne.

Mehrere Zero Days für Angriff kombiniert

Die Zero Day wird in Kombination mit einer weiteren Sicherheitslücke in der im Chrome- und Edge-Browser verwendeten Freetype-Bibliothek verwendet. Die erste erlaubt das Ausführen von Schadcode innerhalb von Chrome oder Edge, während die zweite ein Ausbruch aus der Browser-Sandbox ermöglicht. Dieses sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Die Lücken in Chrome und Edge wurden bereits behoben, Updates wurden veröffentlicht.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    08./09.11.2022, virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Die Lücke im Kryptographie-Treiber soll mindestens seit Windows 7 existieren und lässt sich mit einem ebenfalls veröffentlichten Proof-of-Concept-Code (PoC) unter Windows 10 (64Bit) ausnutzen. Ein Patch wird zum 10. November, dem nächsten Patch-Tuesday, erwartet. Derzeit arbeite Microsoft an einem Fix, sagte ein Konzern-Sprecher dem Onlinemagazin The Register.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Superbase V
Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
Artikel
  1. Tesla Optimus: Elon Musk zeigt Roboter-Prototyp
    Tesla Optimus
    Elon Musk zeigt Roboter-Prototyp

    Roboter könnten für Tesla aus Sicht von Elon Musk bedeutender werden als Elektroautos. Der Konzern zeigte seinen ersten Roboter-Prototypen.

  2. Google: Nutzer fordern Bluetooth-Freigabe für Stadia-Controller
    Google
    Nutzer fordern Bluetooth-Freigabe für Stadia-Controller

    Mit der Einstellung von Stadia können auch Tausende der speziellen Controller ohne ein Update nicht mehr drahtlos genutzt werden.

  3. Microsofts E-Mail: Modern Auth in Exchange macht Admins Arbeit
    Microsofts E-Mail
    Modern Auth in Exchange macht Admins Arbeit

    Ab dem 1. Oktober 2022 müssen Exchange-Clients zwingend Microsofts moderne Authentifizierung nutzen. Das bedeutet Mehrarbeit.
    Eine Analyse von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. LC-Power LC-M27-QHD-240-C-K 389€) und Damn-Deals (u. a. Kingston A400 240/480 GB 17,50€/32€, NZXT Kraken X73 139€) • Alternate: Weekend Sale • Razer Strider XXL 33,90€ • JBL Live Pro+ 49€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ • LG OLED65CS9LA 1.699€ [Werbung]
    •  /