Original-URL des Artikels: https://www.golem.de/0710/55552.html    Veröffentlicht: 22.10.2007 16:57    Kurz-URL: https://glm.io/55552

Sicherheitsloch in Windows durch Kopierschutz-Treiber

Pufferüberlauf in Bibliothek kann Benutzerrechte erhöhen

Ein bisher noch nicht gestopftes Sicherheitsloch kann bei vielen Windows-Installationen zu Problemen führen. Laut Angaben von Symantec existiert für den Fehler bereits ein Exploit, der auch in freier Wildbahn gesichtet worden sei. Betroffen ist jedoch kein Code von Microsoft, der Fehler steckt in einer Datei des Kopierschutzherstellers Macrovision.

Bereits in der vergangenen Woche, am 16. Oktober 2007, berichtete ein Symantec-Mitarbeiter in seinem Blog über den Fehler: In einer bestimmten System-Datei von Windows XP und Windows 2003 steckt ein Fehler, der sich mittels eines Pufferüberlaufs für das Überschreiben beliebiger Adressräume auch im Kernel-Bereich des Systems eignet. Als Folge kann beliebiger Code als Administrator ausgeführt werden, auch wenn der angemeldete Benutzer nicht die notwendigen Zugriffsrechte hat. Das soll auch bei einem auf den letzten Stand gepatchten Windows XP mit Service Pack 2 und einem ebenfalls voll aktualisierten Windows 2003 mit SP1 möglich sein. Bedingung ist nur, dass ein Angreifer gültige Zugangsdaten für den Rechner haben muss. Windows Vista soll nicht betroffen sein.

Symantec verschwieg in dieser Warnung ausdrücklich weitere Details der Lücke, gab aber an, dass es sich um einen Treiber handle, der "bei vielen Windows-Installationen mitgeliefert" werde. Zudem sollen bereits praktische Anwendungen, so genannte Exploits, für den Fehler in freier Wildbahn gesichtet worden sein. Deshalb habe man zuerst Microsoft und dann die Öffentlichkeit informiert.

Am 18. Oktober 2007 meldete schließlich der Betreiber der Sicherheits-Webseite Reversemode, Rubén Santamarta, über die Mailing-Liste Bugtraq, dass der Fehler in der Datei "secdrv.sys" stecke. Er belegte in seinem Posting den Fehler mit Code-Beispielen. Der Treiber soll Teil des Kopierschutzes "SafeDisc" von Macrovision und Teil von Windows sein - das stimmt überraschenderweise. Auf mehreren in der Redaktion von Golem.de gefundenen Original-CDs von Windows XP, sowohl mit SP1 wie SP2, steckt eine Datei gleichen Namens, die auch nicht die bei Microsoft-Dateien üblichen Versionshinweise und Kommentare in den Datei-Eigenschaften ausgibt. Unklar ist noch, ob es sich wirklich um einen Teil von "SafeDisc" handelt oder eher um einen Treiber für die analoge Video-Ausgabe, wo Grafikkarten sich ebenfalls eines Macrovision-Verfahrens bedienen. Auf einem Rechner konnte eine gleichnamige Datei aber im Installationsverzeichnis des vor über fünf Jahren erschienenen Spiels "Serious Sam - The Second Encounter" gefunden werden, das mit SafeDisc arbeitet.

Fraglich ist zunächst einmal, was ein Kopierschutz-Treiber in Windows überhaupt zu suchen hat - und auch, wie schnell Microsoft auf den Fehler reagieren kann, da die Rechte an der Datei offenbar bei Macrovision liegen. Noch hat keiner der beiden Software-Hersteller zu dem Problem Stellung genommen oder einen Patch angekündigt. Bei privat genutzten PCs arbeiten die Anwender ohnehin meist mit Administratorrechten, so dass die Lücke sich hier nicht auswirkt. Unternehmen, bei denen die Rechner mit eingeschränkten Rechnern arbeiten, empfiehlt Symantec nun ein genaues Aufpassen, solange die Lücke besteht, und verweist darauf, dass ein Exploit dafür bereits gesichtet wurde.  (nie)


Verwandte Artikel:
Windows und Internet Explorer: Microsoft beseitigt Fehler   
(10.10.2007, https://glm.io/55273 )
Sicherheits-Patches für Windows und Office   
(11.07.2007, https://glm.io/53405 )
Microsofts Patch-Day schließt 18 Sicherheitslücken   
(09.05.2007, https://glm.io/52164 )
Microsofts wahrer Patch-Day im April   
(11.04.2007, https://glm.io/51601 )
Microsoft schließt offenes Sicherheitsloch in Windows (Upd.)   
(04.04.2007, https://glm.io/51508 )

Links zum Artikel:
48Bits (Blog): "Macrorisión - Windows XP/2k3 0bay": http://blog.48bits.com/?p=172
Macrovision (.com): http://www.macrovision.com
Microsoft (.com): http://www.microsoft.com
Reversemode: "Symantec warns of local privilege escalation 0Day in Windows": http://www.reversemode.com/index.php?option=com_mamblog&Itemid=15
Symantec: "Privilege Escalation Exploit In the Wild": http://www.symantec.com/enterprise/security_response/weblog/2007/10/privilege_escalation_exploit_i.html

© 1997–2020 Golem.de, https://www.golem.de/