Project Zero: Bug in Windows-10-Versionen hebelt UMCI aus

Michael Schäfer 46 Kommentare
Project Zero: Bug in Windows-10-Versionen hebelt UMCI aus

Das Security-Team von Google hat erneut eine Sicherheitslücke in einem Betriebssystem von Microsoft bekanntgemacht, bevor der Software-Riese diese beheben konnte. Eine Gefahr besteht jedoch nur unter bestimmten Umständen, dann kann aber auf Systemen mit Windows 10 S und Enterprise-Versionen Schadcode dauerhaft ausgeführt werden.

User Mode Code Integrity betroffen

Diese treten ein, wenn unter Windows 10 der Device Guard aktiviert ist, was den Angaben zufolge auf der anderen Seite für eine wirkungslose Benutzermodus-Codeintegrität (UMCI) sorgt. Mit Hilfe von UMCI will Microsoft dafür Sorge tragen, dass nur vertrauenswürdige Prozesse wie Dienste oder Programme im entsprechenden Modus ausgeführt werden können. Dies geschieht im Normalfall anhand des Class Identifier (CLSID). Laut James Forshaw, Forscher im Project-Zero-Team, kann ein Angreifer über einen selbst erzeugten Registry-Schlüssel jedoch veranlassen, dass ein beliebiges Com-Objekt geladen und als vertrauenswürdig angesehen wird – somit also Schadcode eingeschleust wird. Die Gefahr für eine Ausdehnung der Nutzerrechte soll aber nicht gegeben sein.

Ausnutzung von außerhalb nicht auszuschließen

Für das aufgeführte Szenario benötigt der Angreifer den bisherigen Kenntnissen nach einen physischen Zugang zu einem System, um den Registry-Schlüssel erstellen und dieses mit einer Schadsoftware infizieren zu können. Diese Situation ist zum Beispiel im Bildungsbereich des Öfteren gegeben.

Es wird von Seiten der Experten jedoch nicht gänzlich ausgeschlossen, dass das Sicherheitsproblem in Kombination mit einer anderen Lücke so ausgenutzt werden kann, sodass über das jeweilige Netzwerk oder sogar über eine Online-Verbindung die Schutzmechanismen umgangen werden könnten.

Bestimmte Versionen von Windows 10 betroffen

Die gefundene Lücke betrifft neben den Enterprise-Versionen auch das vor allem für den Bildungsbereich konzipierte günstige Windows 10 S. Laut den Forschern soll dafür eine Lücke im .NET-Framwork von Microsoft verantwortlich sein. Forshaw stuft das Gefahrenpotenzial des Problems jedoch eher als mittel ein, da die oben genannten Umstände erst zusammentreffen müssen. Zudem gäbe es eine Reihe von ähnlichen Fehlern, welche sich deutlich einfacher ausnutzen lassen würden.

Dennoch sollte Microsoft seiner Einschätzung nach die Lücke schnellstens schließen, da sich Nutzer auf die Sicherheitsfunktionen von Windows verlassen und somit in einer trügerischen Sicherheit gewogen werden.

Nicht das erste Aufeinandertreffen

Google hat den Fehler bereits am 19. Januar den zuständigen Stellen bei Microsoft mitgeteilt. Das Unternehmen hatte drei Wochen später die Kenntnis bestätigt und mehrfach um eine Verschiebung der Veröffentlichung gebeten. Als Grund nannte Microsoft „unvorhersehbare Abhängigkeiten im Quellcode‟. Auch der Vorschlag seitens Microsoft, mit der Offenlegung der Lücke bis zur Veröffentlichung des Redstone-4-Updates für Windows 10 zu warten, wurde von Google mit der Begründung des fehlenden Termins ebenfalls abgelehnt.

Nachdem die Lücke jedoch am vergangenen Patchday und somit nach Auslauf der von Google vorgegebenen Frist von 90 Tagen immer noch nicht behoben wurde, machte das Google-Team das Sicherheitsproblem öffentlich, inklusive eines Proof of Concept.

Mit Druck zu schnelleren Updates

Auch wenn das Vorgehen von Google immer wieder kritisiert wird, versucht der Suchmaschinenspezialist dadurch den Druck auf die Hersteller zu erhöhen und für schnellere Patches zu sorgen.

Microsoft will Sicherheit auch für Windows Subsystem for Linux erhöhen

In einem Blog-Eintrag hatte Microsoft zudem Ende der letzten Woche neue Sicherheitsfunktionen für Windows 10 bekannt gegeben, welche auch das Windows Subsystem for Linux betreffen. Mit dem Redstone-5-Update soll es möglich sein, wie bisher für Windows 10 gewohnt spezielle Regeln auch für Prozesse des Linux-Subsystems festlegen zu können. Darüber hinaus soll die Windows-Firewall in Zukunft Nutzer über unberechtigte Zugriffe auf nicht freigegebene Ports benachrichtigen, welche von diesem dann freigegeben werden müssen.

Teilnehmer des Windows Insider Program sollen die neuen Funktionen bereits testen können.