Abo
  • Services:

UMCI: Project Zero veröffentlicht Windows-10-Sicherheitslücke

Wieder einmal haben sich Google und Microsoft über die Veröffentlichung einer Sicherheitslücke gestritten. Der Fehler in .Net ermöglicht es einem Angreifer, trotz enger Beschränkungen Code unter Windows 10 S oder auf UMCI-Systemen auszuführen.

Artikel veröffentlicht am ,
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung.
Ein Problem in der .Net-Implementierung ermöglicht Codeausführung. (Bild: Microsoft/Bearbeitung: Golem.de)

Der bei Google arbeitende Sicherheitsforscher James Forshaw hat Details zu einer Sicherheitslücke in Windows 10 S und Windows-Geräten mit User Mode Code Integrity (UMCI) veröffentlicht. Der Bug findet sich in Microsofts .Net-Implementierung und kann nicht aus der Ferne ausgenutzt werden. Microsoft hatte mehrfach darum gebeten, die Veröffentlichung der Details zu verschieben.

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. Mauth.CC GmbH, Mauth

Google lehnte dies jedoch ab und beharrte auf der eigenen 90-Tage-Frist. Forshaw argumentiert, dass mehrere weitere ähnliche Fehler existieren, die ebenfalls ungepatcht sind, sich aber noch leichter ausnutzen lassen. Der Fehler liegt im .Net-Framework und kann von einem Angreifer ausgenutzt werden, um die Prüfung zur Instanziierung von Com-Objekten zu umgehen. Unter Windows 10 S und auf Rechnern mit aktivierter UMCI gibt es normalerweise enge Beschränkungen für diesen Prozess. Je nach Konfiguration können auf entsprechenden Rechnern nur 8 bis 50 vordefinierte Com-Objekte instanziiert werden.

Ein Angreifer könnte also durch die Umgehung Code ausführen, obwohl er dazu eigentlich nicht berechtigt ist. Windows prüft eigentlich anhand der Class IDentifier (CLSID), ob das Objekt ausgeführt werden darf. Forshaw gelang es allerdings, Registry-Schlüssel zu erzeugen, die ein beliebiges Com-Objekt laden und mit einer der erlaubten CLSIDs versehen. Damit lässt sich die Sicherheitspolicy dann umgehen. Eine CVE-Nummer für die Lücke ist noch nicht bekannt.

Nicht die erste Auseinandersetzung

Forshaw hat einen Proof of Concept veröffentlicht. Er stuft die Sicherheitslücke nicht als kritisch ein, sondern weist ihr eine mittlere Priorität zu - auch, weil es ähnliche ungepatchte Sicherheitslücken gibt. Microsoft will den Fehler im kommenden verzögerten Windows 10 Release mit dem Codenamen Redstone 4 (Spring Creators Update) beheben - natürlich auch bei den älteren unterstützten Versionen. Google und Microsoft hatten sich in der Vergangenheit schon häufiger über die Veröffentlichung von Sicherheitsproblemen gestritten. Kritiker werfen Google vor, Project Zero zu missbrauchen, um Konkurrenten einen Wettbewerbsnachteil zu verschaffen.



Anzeige
Spiele-Angebote
  1. 3,49€
  2. 59,99€ - Release 14.09.
  3. (-78%) 7,99€
  4. 7,49€

Anonymer Nutzer 24. Apr 2018 / Themenstart

Wieviel Quellcode vom net framework hast du denn schon gesehen, um so eine Aussage zu...

g0r3 23. Apr 2018 / Themenstart

Project Zero findet haufenweise Lücken in Google-Produkten. Und 90 Tage sind ein...

Evron 23. Apr 2018 / Themenstart

Warte mal... Man braucht doch Adminrechte um die CLSID in die Registry hinzufügen zu...

Kommentieren


Folgen Sie uns
       


Detroit Become Human - Livestream

Detroit: Become Human hat unseren Chat und Livestreamer Michael Wieczorek überzeugt. Immer wieder und wieder wollten wir wissen, wie es in dem spannenden Sci-Fi-Krimi in unserer(?) Zukunft weiter geht.

Detroit Become Human - Livestream Video aufrufen
Recycling: Die Plastikwaschmaschine
Recycling
Die Plastikwaschmaschine

Seit Kurzem importiert China kaum noch Müll aus dem Ausland. Damit hat Deutschland ein Problem. Wohin mit all dem Kunststoffabfall? Michael Hofmann will die Lösung kennen: Er bietet eine Technologie an, die den Abfall in Wertstoff verwandelt.
Ein Bericht von Daniel Hautmann


    Noctua NF-A12x25 im Test: Spaltlos lautlos
    Noctua NF-A12x25 im Test
    Spaltlos lautlos

    Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
    Ein Test von Marc Sauter

    1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
    2. Lüfter Noctua kann auch in Schwarz
    3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

    Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
    Kryptographie
    Der Debian-Bug im OpenSSL-Zufallszahlengenerator

    Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
    Von Hanno Böck


        •  /