Die Forscher von Googles Project Zero haben Details einer Zero-Day-Sicherheitsschwachstelle in Windows veröffentlich, nachdem es Anzeichen gibt, dass diese schon von Angreifern ausgenutzt wird.
Der Fehler, der zu einer Speicherbeschädigung führt, befindet sich im Windows-Kernel-Kryptografietreiber (cng.sys) und stellt laut Google „eine lokal zugängliche Angriffsfläche dar, die für die Eskalation von Berechtigungen ausgenutzt werden kann (z. B. dem Ausbruch einer Malware aus einer Sandbox).
Die Forscher veröffentlichten auch einen Proof-of-Concept, den sie mit einer aktuellen Version von Windows 10 (Version 1903, 64-Bit) getestet hatten. Sie gehen davon aus, dass der Sicherheitsfehler möglicherweise seit Windows 7 existiert, was bedeutet, dass alle Versionen von Windows 7 bis 10 betroffen sein könnten.
Laut Medienberichten wird der Fehler bereits in Verbindung mit einem weiteren Zero-Day-Bug (CVE-2020-15999) ausgenutzt, der die weit verbreitete FreeType-Softwareentwicklungsbibliothek im Google Chrome Browser betrifft.
Google meldete den neu gefundenen Fehler (CVE-2020-17087) an Microsoft. Da jedoch Hinweise darauf gefunden wurden, dass die Lücke bereits in freier Wildbahn ausgenutzt wurde, setzte Google eine Frist von sieben Tagen, bevor man die Lücke publik machen würde.
Patch noch nicht verfügbar
Derzeit gibt es noch keinen Patch für die Sicherheitslücke. Der technische Leiter von Project Zero, Ben Hawke, geht auf Twitter allerdings davon aus, dass ein Patch am 10. November veröffentlicht wird. Die fällt mit dem üblichen Patch-Termin Microsofts, dem Patch-Tuesday, zusammen.
?s=20
Gegenüber TechCrunch hat Microsoft unterdessen folgende Erklärung abgegeben:
„Microsoft hat eine Verpflichtung gegenüber seinen Kunden, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte zu aktualisieren, um Kunden zu schützen. Obwohl wir versuchen, die Offenlegungsfristen aller Forscher einzuhalten, einschließlich kurzfristiger Fristen, wie in diesem Fall, gilt es bei der Entwicklung von Sicherheitsupdates zwischen Schnelligkeit und Qualität abzuwägen. Unser oberstes Ziel ist es, maximalen Kundenschutz bei minimaler Kundenstörung zu gewährleisten.”
Ein Unternehmenssprecher fügte hinzu, dass der Angriff recht begrenzt zu sein scheint. Es gäbe keinen Beweis dafür, dass es sich um ein weit verbreitetes Problem handelt. Auch wird nicht angenommen, dass die Angriffe mit den bevorstehenden US-Präsidentschaftswahlen zu tun haben.
Seit Anfang dieses Jahres hat Microsoft mehrere schwerwiegende Fehler in Windows gemeldet und behoben, darunter zwei Zero-Day-Lücken im März und eine Zero-Day-Lücke, die von der US-amerikanischen National Security Agency (NSA) gefunden wurde.