Abo
  • Services:

UMCI: Project Zero veröffentlicht Windows-10-Sicherheitslücke

Wieder einmal haben sich Google und Microsoft über die Veröffentlichung einer Sicherheitslücke gestritten. Der Fehler in .Net ermöglicht es einem Angreifer, trotz enger Beschränkungen Code unter Windows 10 S oder auf UMCI-Systemen auszuführen.

Artikel veröffentlicht am ,
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung.
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung. (Bild: Microsoft/Bearbeitung: Golem.de)

Der bei Google arbeitende Sicherheitsforscher James Forshaw hat Details zu einer Sicherheitslücke in Windows 10 S und Windows-Geräten mit User Mode Code Integrity (UMCI) veröffentlicht. Der Bug findet sich in Microsofts .Net-Implementierung und kann nicht aus der Ferne ausgenutzt werden. Microsoft hatte mehrfach darum gebeten, die Veröffentlichung der Details zu verschieben.

Stellenmarkt
  1. Schwarz Zentrale Dienste KG, Heilbronn
  2. STUTE Logistics (AG & Co.) KG, Bremen

Google lehnte dies jedoch ab und beharrte auf der eigenen 90-Tage-Frist. Forshaw argumentiert, dass mehrere weitere ähnliche Fehler existieren, die ebenfalls ungepatcht sind, sich aber noch leichter ausnutzen lassen. Der Fehler liegt im .Net-Framework und kann von einem Angreifer ausgenutzt werden, um die Prüfung zur Instanziierung von Com-Objekten zu umgehen. Unter Windows 10 S und auf Rechnern mit aktivierter UMCI gibt es normalerweise enge Beschränkungen für diesen Prozess. Je nach Konfiguration können auf entsprechenden Rechnern nur 8 bis 50 vordefinierte Com-Objekte instanziiert werden.

Ein Angreifer könnte also durch die Umgehung Code ausführen, obwohl er dazu eigentlich nicht berechtigt ist. Windows prüft eigentlich anhand der Class IDentifier (CLSID), ob das Objekt ausgeführt werden darf. Forshaw gelang es allerdings, Registry-Schlüssel zu erzeugen, die ein beliebiges Com-Objekt laden und mit einer der erlaubten CLSIDs versehen. Damit lässt sich die Sicherheitspolicy dann umgehen. Eine CVE-Nummer für die Lücke ist noch nicht bekannt.

Nicht die erste Auseinandersetzung

Forshaw hat einen Proof of Concept veröffentlicht. Er stuft die Sicherheitslücke nicht als kritisch ein, sondern weist ihr eine mittlere Priorität zu - auch, weil es ähnliche ungepatchte Sicherheitslücken gibt. Microsoft will den Fehler im kommenden verzögerten Windows 10 Release mit dem Codenamen Redstone 4 (Spring Creators Update) beheben - natürlich auch bei den älteren unterstützten Versionen. Google und Microsoft hatten sich in der Vergangenheit schon häufiger über die Veröffentlichung von Sicherheitsproblemen gestritten. Kritiker werfen Google vor, Project Zero zu missbrauchen, um Konkurrenten einen Wettbewerbsnachteil zu verschaffen.



Anzeige
Top-Angebote
  1. 297,00€ + 4,99€ Versand
  2. (u. a. 480-GB-SSD 59€, 2-TB-SSD 274€, 64-GB-USB3-Stick 10,99€)
  3. (u. a. 16 GB DDR4-2666 von HyperX für 109,90€)
  4. (u. a. Acer und HP-Notebooks ab 519€)

Anonymer Nutzer 24. Apr 2018

Wieviel Quellcode vom net framework hast du denn schon gesehen, um so eine Aussage zu...

g0r3 23. Apr 2018

Project Zero findet haufenweise Lücken in Google-Produkten. Und 90 Tage sind ein...

Evron 23. Apr 2018

Warte mal... Man braucht doch Adminrechte um die CLSID in die Registry hinzufügen zu...


Folgen Sie uns
       


Dark Rock Pro TR4 - Test

Der Dark Rock Pro TR4 von Be quiet ist einer der wenigen Luftkühler für AMDs Threadripper-Prozessoren. Im Test schneidet er sehr gut ab, da die Leistung hoch und die Lautheit niedrig ausfällt. Bei der Montage und der RAM-Kompatibilität gibt es leichte Abzüge, dafür ist der schwarze Look einzigartig.

Dark Rock Pro TR4 - Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


      •  /