Sicherheitslücke: Zero Day im Windows-Kernel veröffentlicht

Google hat die Sicherheitslücke nach nur 7 Tagen veröffentlicht, weil sie bereits aktiv ausgenutzt wurde. Patches gibt es nicht.

Artikel veröffentlicht am ,
Die veröffentlichte Sicherheitslücke wird bereits aktiv ausgenutzt.
Die veröffentlichte Sicherheitslücke wird bereits aktiv ausgenutzt. (Bild: Gerd Altmann/Pixabay)

Googles Project Zero hat eine Sicherheitslücke im Windows-Kernel veröffentlicht, die bereits aktiv ausgenutzt wird. Sie wird in Kombination mit anderen Sicherheitslücken in Browsern verwendet, um in das System eindringen zu können. Für die Kernel-Sicherheitslücke stehen derzeit keine Patches zur Verfügung.

Stellenmarkt
  1. Project Administrator Business Development (m/w/d)
    Hays AG, Selb
  2. Developer Full Stack (w/m/d)
    ORSOFT, Leipzig
Detailsuche

Entdeckt wurde die Zero Day (CVE-2020-17087) von den Sicherheitsforschern Mateusz Jurczyk und Sergei Glazunov von Googles Project Zero, die die Lücke am 22. Oktober an Microsoft gemeldet hatten. Nachdem klar war, dass sie bereits aktiv ausgenutzt wurde, hat sich Google nur sieben Tage später dazu entschlossen, die Sicherheitslücke zu veröffentlichen.

"Der Windows-Kernel-Kryptographie-Treiber (cng.sys) stellt ein \Device\CNG-Gerät für User-Mode-Programme bereit und unterstützt eine Vielzahl von IOCTLs mit nicht-trivialen Eingabestrukturen", heißt es in dem Fehlerbericht. Dies stelle eine lokal zugängliche Angriffsfläche dar, die zur Rechteausweitung oder einem Ausbruch aus einer Sandbox genutzt werden könne.

Mehrere Zero Days für Angriff kombiniert

Die Zero Day wird in Kombination mit einer weiteren Sicherheitslücke in der im Chrome- und Edge-Browser verwendeten Freetype-Bibliothek verwendet. Die erste erlaubt das Ausführen von Schadcode innerhalb von Chrome oder Edge, während die zweite ein Ausbruch aus der Browser-Sandbox ermöglicht. Dieses sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Die Lücken in Chrome und Edge wurden bereits behoben, Updates wurden veröffentlicht.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Mobile Device Management mit Microsoft Intune
    22.-23. November 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Die Lücke im Kryptographie-Treiber soll mindestens seit Windows 7 existieren und lässt sich mit einem ebenfalls veröffentlichten Proof-of-Concept-Code (PoC) unter Windows 10 (64Bit) ausnutzen. Ein Patch wird zum 10. November, dem nächsten Patch-Tuesday, erwartet. Derzeit arbeite Microsoft an einem Fix, sagte ein Konzern-Sprecher dem Onlinemagazin The Register.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mobiles Betriebssystem
iOS 15 mit Focus, OCR und schickem Facetime

Apple hat iOS 15 für iPhones und den iPod Touch vorgestellt. Radikale Neuerungen sind nicht dabei, dafür aber einige interessante Funktionen.

Mobiles Betriebssystem: iOS 15 mit Focus, OCR und schickem Facetime
Artikel
  1. Eli Zero: Kleines E-Auto mit Türen und Fenstern kostet 12.000 Euro
    Eli Zero
    Kleines E-Auto mit Türen und Fenstern kostet 12.000 Euro

    Das minimalistische, vierrädrige Elektroauto Eli Zero soll für rund 12.000 Euro nach Europa kommen. Der Zweisitzer erinnert an den Smart.

  2. E-Autos inklusive: Tübinger müssen 180 Euro Parkgebühren für SUVs zahlen
    E-Autos inklusive
    Tübinger müssen 180 Euro Parkgebühren für SUVs zahlen

    Tübingens Oberbürgermeister Boris Palmer hat sich mit höheren Anwohnerparkgebühren für schwere Autos durchsetzen können.

  3. Windows 11: Geplante Obsoleszenz ist schlecht, Microsoft!
    Windows 11
    Geplante Obsoleszenz ist schlecht, Microsoft!

    Kunden ärgern sich darüber, dass ihre vier Jahre alten Prozessoren bereits kein Windows 11 mehr unterstützen. Zu Recht.
    Ein IMHO von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM-Prospekt (u. a. Asus Gaming-Notebook 17" RTX 3050 1.099€) • PCGH-PC mit Ryzen 5 3600 & RTX 3060 999€ • Samsung 970 Evo Plus 1TB 99€ • Saturn Hits 2021 (u. a. Philips 55" OLED 120Hz 1.849€) • Corsair RGB 16GB Kit 3600MHz 87,90€ [Werbung]
    •  /