Abo
  • Services:

UMCI: Project Zero veröffentlicht Windows-10-Sicherheitslücke

Wieder einmal haben sich Google und Microsoft über die Veröffentlichung einer Sicherheitslücke gestritten. Der Fehler in .Net ermöglicht es einem Angreifer, trotz enger Beschränkungen Code unter Windows 10 S oder auf UMCI-Systemen auszuführen.

Artikel veröffentlicht am ,
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung.
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung. (Bild: Microsoft/Bearbeitung: Golem.de)

Der bei Google arbeitende Sicherheitsforscher James Forshaw hat Details zu einer Sicherheitslücke in Windows 10 S und Windows-Geräten mit User Mode Code Integrity (UMCI) veröffentlicht. Der Bug findet sich in Microsofts .Net-Implementierung und kann nicht aus der Ferne ausgenutzt werden. Microsoft hatte mehrfach darum gebeten, die Veröffentlichung der Details zu verschieben.

Stellenmarkt
  1. VIRES Simulationstechnologie GmbH, Bad Aibling
  2. EnBW Energie Baden-Württemberg AG, Karlsruhe

Google lehnte dies jedoch ab und beharrte auf der eigenen 90-Tage-Frist. Forshaw argumentiert, dass mehrere weitere ähnliche Fehler existieren, die ebenfalls ungepatcht sind, sich aber noch leichter ausnutzen lassen. Der Fehler liegt im .Net-Framework und kann von einem Angreifer ausgenutzt werden, um die Prüfung zur Instanziierung von Com-Objekten zu umgehen. Unter Windows 10 S und auf Rechnern mit aktivierter UMCI gibt es normalerweise enge Beschränkungen für diesen Prozess. Je nach Konfiguration können auf entsprechenden Rechnern nur 8 bis 50 vordefinierte Com-Objekte instanziiert werden.

Ein Angreifer könnte also durch die Umgehung Code ausführen, obwohl er dazu eigentlich nicht berechtigt ist. Windows prüft eigentlich anhand der Class IDentifier (CLSID), ob das Objekt ausgeführt werden darf. Forshaw gelang es allerdings, Registry-Schlüssel zu erzeugen, die ein beliebiges Com-Objekt laden und mit einer der erlaubten CLSIDs versehen. Damit lässt sich die Sicherheitspolicy dann umgehen. Eine CVE-Nummer für die Lücke ist noch nicht bekannt.

Nicht die erste Auseinandersetzung

Forshaw hat einen Proof of Concept veröffentlicht. Er stuft die Sicherheitslücke nicht als kritisch ein, sondern weist ihr eine mittlere Priorität zu - auch, weil es ähnliche ungepatchte Sicherheitslücken gibt. Microsoft will den Fehler im kommenden verzögerten Windows 10 Release mit dem Codenamen Redstone 4 (Spring Creators Update) beheben - natürlich auch bei den älteren unterstützten Versionen. Google und Microsoft hatten sich in der Vergangenheit schon häufiger über die Veröffentlichung von Sicherheitsproblemen gestritten. Kritiker werfen Google vor, Project Zero zu missbrauchen, um Konkurrenten einen Wettbewerbsnachteil zu verschaffen.



Anzeige
Spiele-Angebote
  1. 32,99€
  2. 20,49€
  3. (u. a. Life is Strange Complete Season 3,99€, Deus Ex: Mankind Divided 4,49€)
  4. 34,99€ (erscheint am 14.02.)

Anonymer Nutzer 24. Apr 2018

Wieviel Quellcode vom net framework hast du denn schon gesehen, um so eine Aussage zu...

g0r3 23. Apr 2018

Project Zero findet haufenweise Lücken in Google-Produkten. Und 90 Tage sind ein...

Evron 23. Apr 2018

Warte mal... Man braucht doch Adminrechte um die CLSID in die Registry hinzufügen zu...


Folgen Sie uns
       


Tesla Model 3 - Test

Das Tesla Model 3 ist seit Mitte Februar 2019 in Deutschland erhältlich. Wir sind es gefahren.

Tesla Model 3 - Test Video aufrufen
Oldtimer umrüsten: Happy End mit Elektromotor
Oldtimer umrüsten
Happy End mit Elektromotor

Verbotszonen könnten die freie Fahrt von Oldtimern einschränken. Aber auch Umweltschutzgründe und Exzentrik führen dazu, dass immer mehr Sammler ihre liebsten Fahrzeuge umrüsten.
Ein Bericht von Dirk Kunde

  1. Piëch Mark Zero Porsche-Nachfahre baut eigenen E-Sportwagen
  2. Elektroautos Sportversion des E.Go Life und Shuttle E.Go Lux
  3. Rivian Amazon investiert in Elektropickups

EU-Urheberrecht: Die verdorbene Reform
EU-Urheberrecht
Die verdorbene Reform

Mit dem Verhandlungsergebnis zur EU-Urheberrechtsrichtlinie ist eigentlich niemand zufrieden. Die Einführung von Leistungsschutzrecht und Uploadfiltern sollte daher komplett gestoppt werden.
Ein IMHO von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf

    •  /