Abo
  • Services:

UMCI: Project Zero veröffentlicht Windows-10-Sicherheitslücke

Wieder einmal haben sich Google und Microsoft über die Veröffentlichung einer Sicherheitslücke gestritten. Der Fehler in .Net ermöglicht es einem Angreifer, trotz enger Beschränkungen Code unter Windows 10 S oder auf UMCI-Systemen auszuführen.

Artikel veröffentlicht am ,
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung.
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung. (Bild: Microsoft/Bearbeitung: Golem.de)

Der bei Google arbeitende Sicherheitsforscher James Forshaw hat Details zu einer Sicherheitslücke in Windows 10 S und Windows-Geräten mit User Mode Code Integrity (UMCI) veröffentlicht. Der Bug findet sich in Microsofts .Net-Implementierung und kann nicht aus der Ferne ausgenutzt werden. Microsoft hatte mehrfach darum gebeten, die Veröffentlichung der Details zu verschieben.

Stellenmarkt
  1. WERTGARANTIE Group, Hannover
  2. Verlag C.H.BECK, München-Schwabing

Google lehnte dies jedoch ab und beharrte auf der eigenen 90-Tage-Frist. Forshaw argumentiert, dass mehrere weitere ähnliche Fehler existieren, die ebenfalls ungepatcht sind, sich aber noch leichter ausnutzen lassen. Der Fehler liegt im .Net-Framework und kann von einem Angreifer ausgenutzt werden, um die Prüfung zur Instanziierung von Com-Objekten zu umgehen. Unter Windows 10 S und auf Rechnern mit aktivierter UMCI gibt es normalerweise enge Beschränkungen für diesen Prozess. Je nach Konfiguration können auf entsprechenden Rechnern nur 8 bis 50 vordefinierte Com-Objekte instanziiert werden.

Ein Angreifer könnte also durch die Umgehung Code ausführen, obwohl er dazu eigentlich nicht berechtigt ist. Windows prüft eigentlich anhand der Class IDentifier (CLSID), ob das Objekt ausgeführt werden darf. Forshaw gelang es allerdings, Registry-Schlüssel zu erzeugen, die ein beliebiges Com-Objekt laden und mit einer der erlaubten CLSIDs versehen. Damit lässt sich die Sicherheitspolicy dann umgehen. Eine CVE-Nummer für die Lücke ist noch nicht bekannt.

Nicht die erste Auseinandersetzung

Forshaw hat einen Proof of Concept veröffentlicht. Er stuft die Sicherheitslücke nicht als kritisch ein, sondern weist ihr eine mittlere Priorität zu - auch, weil es ähnliche ungepatchte Sicherheitslücken gibt. Microsoft will den Fehler im kommenden verzögerten Windows 10 Release mit dem Codenamen Redstone 4 (Spring Creators Update) beheben - natürlich auch bei den älteren unterstützten Versionen. Google und Microsoft hatten sich in der Vergangenheit schon häufiger über die Veröffentlichung von Sicherheitsproblemen gestritten. Kritiker werfen Google vor, Project Zero zu missbrauchen, um Konkurrenten einen Wettbewerbsnachteil zu verschaffen.



Anzeige
Spiele-Angebote
  1. (-79%) 8,49€
  2. 43,99€
  3. 20,99€ - Release 07.11.

Anonymer Nutzer 24. Apr 2018

Wieviel Quellcode vom net framework hast du denn schon gesehen, um so eine Aussage zu...

g0r3 23. Apr 2018

Project Zero findet haufenweise Lücken in Google-Produkten. Und 90 Tage sind ein...

Evron 23. Apr 2018

Warte mal... Man braucht doch Adminrechte um die CLSID in die Registry hinzufügen zu...


Folgen Sie uns
       


Microsoft Surface Go - Test

Das Surface Go mag zwar klein sein, darin steckt jedoch ein vollwertiger Windows-10-PC. Der kleinste Vertreter von Microsofts Produktreihe überzeigt als Tablet in Programmen und Spielen. Das Type Cover ist weniger gut.

Microsoft Surface Go - Test Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Bundesnetzagentur Regierung will gemeinsames 5G-Netz auf dem Land durchsetzen
  2. Mobilfunk Telekom will 5G-Infrastruktur mit anderen gemeinsam nutzen
  3. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

    •  /