Der Aussage eines Google-Sicherheits-Ingenieurs zufolge ist Microsoft am Versuch gescheitert, eine Sicherheitslücke richtig zu schließen, die Auswirkungen auf Windows 10 und Windows Server 2016 Distributionen hat.

Der Fehler betrifft die Windows Speicherdienste, einen Kerndienst des Betriebssystems, der die Übertragung von Dateien und Speichervorgänge steuert. Genauer gesagt hat diese Verwundbarkeit Einfluss auf die „SvcMoveFileInheritSecurity“-Funktion, die Windows grundsätzlich beim Verschieben einer Datei verwendet.

Durch Fehler erlangen Angreifer Administrator-Rechte mit Leichtigkeit

Im November 2017 entdeckte der Software-Ingenieur James Forshaw, Mitglied des Project Zero Teams von Google, zwei Methoden um diese Funktion dafür zu nutzen, dem Benutzer eines Windows Computers mehr Privilegien zu geben.

Der Schwachpunkt — aufgeführt als CVE-2018-0826 — erlaubt dem Angreifer, Dateien an Orte wie den \Windows Folder zu kopieren oder überschreiben, was normalerweise nicht möglich sein sollte.

Dateien, die in diesem und weiteren Ordnern lokalisiert sind, werden manchmal automatisch von diversen, vertrauenswürdigen Anwendungen und sogar vom Betriebssystem selbst ausgeführt. Das macht diesen Fehler zu einer guten und einfachen Möglichkeit, Berechtigungen auf Administratorebene zu erlangen.

Microsoft patcht nur eine von zwei Sicherheitslücken

Jedoch sagt Forshaw, er habe speziell zwei Berichte über die auffälligen Fehler bei Microsoft eingereicht, die den Ingenieuren aufzeigen sollte, wie diese Sicherheitslücke mit diesen beiden Möglichkeiten ausgenutzt werden kann.

Forshaw soll letzte Woche unangenehm davon überrascht gewesen sein, dass Microsoft trotz seiner Bemühungen nur eine der beiden Methoden gepatcht hat.

Er zeigt auf, dass Windows-Nutzer nach wie vor durch CVE-2018-0826 verwundbar sind, obwohl sie die richtigen Patches im Rahmen des Februar 2018 Patch Dienstag-Updates installiert haben.

Es gibt auch gute Nachrichten: Ältere Windows Versionen wie 8.1 und davor sind nicht betroffen. Außerdem kann der Fehler nicht von einem anderen Standort aus ausgenutzt werden. Forshaw erklärt:

“Das Problem ist eine Erweiterung der Berechtigungen welche es einem normalen Nutzer ermöglicht, Administrator-Rechte zu erhalten. Allerdings wäre es für das Ausführen dieser Aktion nötig, bereits einen laufenden Code im System auf einer normalen Nutzerebene zu haben. Es kann nicht aus der Ferne angegriffen werden (ohne Angriff auf ein völlig anderes ungelöstes Problem, um zur Remote-Code-Ausführung zu gelangen), und es kann nicht von einer wie die von Edge und Chrome genutzten Sandboxes verwendet werden. Die Kennzeichnung dieses Problems als hohen Schweregrad zeigt auf, wie einfach es ist, diese Art von Problem auszunutzen. Auch wenn es einfach ist, so werden doch bestimmte Systemvorraussetzungen benötigt.”

In anderen Worten: Forshaw sagt – auch wenn es Voraussetzung für diese Sicherheitslücke ist, dass sich der Angreifer bereits erfolgreich in einen Windows Computer eingeklinkt hat – die Vorgehensweise der Ausbeutung sei  so trivial, dass die Gefahr groß ist, von Real-World Malware angegriffen zu werden, um Administratorrechte zu erlangen, je mehr Berechtigungen der Angreifer benötigt, um einen Prozess in einem höhreren Kontext auszuführen, wie z.B. Boot-Persistence.