Proof of Concept: Manipulierte Website kapert ungepatchte Windows-PC

Nachdem Microsoft die Lücke nun geschlossen hat, hat der Sicherheitsforscher Abdulrahman Al-Qabandi in seinem Blog die Schwachstelle und ihre Ausnutzung erläutert (via Bleeping Computer). Microsoft hatte die Sicherheitsbedrohung zwar nur als "Mittel" eingestuft, sie kann aber vor allem eher unbedarfte Nutzer in eine Falle locken. Wer dagegen bereits die in dieser Woche veröffentlichten Oktober Patches für Windows 10 installiert hat, ist bereits auf der sicheren Seite. Angreifer können ungepatchte Windows 10 PC durch eine Sicherheitslücke in Windows Shell übernehmen, ein Update steht bereit

Schwachstelle in Windows Shell

In der Erläuterung zum Patch hieß es, die Sicherheitslücke (CVE-2018-8495) ermögliche die Ausführung von Remote-Code, wenn Windows Shell unsachgemäß mit URIs umgeht. Damit kann ein Angreifer die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten.

Wichtige Updates

Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen, Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Der Besuch einer manipulierten Webseite, auf der der Nutzer zu einer Aktion die das Bestätigen der Enter-Taste erfordert, wie zum Beispiel dem Klicken eines Buttons aufgefordert wird, startet die Ausführung des Exploits.

Normalerweise sind die Codes, die solche Angriffe ermöglichen sehr komplex. In diesem Fall ist es aber laut Al-Qabandi anders. Der Proof of Concept benötigt nur etwas HTML und JavaScript und kann so auf eigentlichen jeder beliebigen Webseite zum Einsatz kommen. Daher kann er auch potenziell einer größeren Anzahl von Anwendern gefährlich werden, wenn die Systeme nicht gepatcht sind.

Download Windows 10: Kumulativer Patch für das Frühlings-Update Download Windows 10 Update-Assistent Siehe auch: