• IT-Karriere:
  • Services:

UMCI: Project Zero veröffentlicht Windows-10-Sicherheitslücke

Wieder einmal haben sich Google und Microsoft über die Veröffentlichung einer Sicherheitslücke gestritten. Der Fehler in .Net ermöglicht es einem Angreifer, trotz enger Beschränkungen Code unter Windows 10 S oder auf UMCI-Systemen auszuführen.

Artikel veröffentlicht am ,
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung.
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung. (Bild: Microsoft/Bearbeitung: Golem.de)

Der bei Google arbeitende Sicherheitsforscher James Forshaw hat Details zu einer Sicherheitslücke in Windows 10 S und Windows-Geräten mit User Mode Code Integrity (UMCI) veröffentlicht. Der Bug findet sich in Microsofts .Net-Implementierung und kann nicht aus der Ferne ausgenutzt werden. Microsoft hatte mehrfach darum gebeten, die Veröffentlichung der Details zu verschieben.

Stellenmarkt
  1. RIEDEL Communications GmbH & Co. KG, Wuppertal
  2. WBS GRUPPE, deutschlandweit (Home-Office)

Google lehnte dies jedoch ab und beharrte auf der eigenen 90-Tage-Frist. Forshaw argumentiert, dass mehrere weitere ähnliche Fehler existieren, die ebenfalls ungepatcht sind, sich aber noch leichter ausnutzen lassen. Der Fehler liegt im .Net-Framework und kann von einem Angreifer ausgenutzt werden, um die Prüfung zur Instanziierung von Com-Objekten zu umgehen. Unter Windows 10 S und auf Rechnern mit aktivierter UMCI gibt es normalerweise enge Beschränkungen für diesen Prozess. Je nach Konfiguration können auf entsprechenden Rechnern nur 8 bis 50 vordefinierte Com-Objekte instanziiert werden.

Ein Angreifer könnte also durch die Umgehung Code ausführen, obwohl er dazu eigentlich nicht berechtigt ist. Windows prüft eigentlich anhand der Class IDentifier (CLSID), ob das Objekt ausgeführt werden darf. Forshaw gelang es allerdings, Registry-Schlüssel zu erzeugen, die ein beliebiges Com-Objekt laden und mit einer der erlaubten CLSIDs versehen. Damit lässt sich die Sicherheitspolicy dann umgehen. Eine CVE-Nummer für die Lücke ist noch nicht bekannt.

Nicht die erste Auseinandersetzung

Forshaw hat einen Proof of Concept veröffentlicht. Er stuft die Sicherheitslücke nicht als kritisch ein, sondern weist ihr eine mittlere Priorität zu - auch, weil es ähnliche ungepatchte Sicherheitslücken gibt. Microsoft will den Fehler im kommenden verzögerten Windows 10 Release mit dem Codenamen Redstone 4 (Spring Creators Update) beheben - natürlich auch bei den älteren unterstützten Versionen. Google und Microsoft hatten sich in der Vergangenheit schon häufiger über die Veröffentlichung von Sicherheitsproblemen gestritten. Kritiker werfen Google vor, Project Zero zu missbrauchen, um Konkurrenten einen Wettbewerbsnachteil zu verschaffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 3,39€
  2. 4,49€

Anonymer Nutzer 24. Apr 2018

Wieviel Quellcode vom net framework hast du denn schon gesehen, um so eine Aussage zu...

g0r3 23. Apr 2018

Project Zero findet haufenweise Lücken in Google-Produkten. Und 90 Tage sind ein...

Evron 23. Apr 2018

Warte mal... Man braucht doch Adminrechte um die CLSID in die Registry hinzufügen zu...


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /