Proof of Concept: Manipulierte Website kapert ungepatchte Windows-PC

Microsoft, Windows, Windows 10, Windows 10 April Update
Eine Sicherheitslücke in Windows Shell ermöglicht es Angreifern aus der Ferne Windows 10-PC zu kapern. Wie das funktioniert zeigt ein Proof-of-Concept des Entdeckers der Schwachstelle. Microsoft stellt mit dem Oktober Patchday bereits einen Fix bereit. Nachdem Microsoft die Lücke nun geschlossen hat, hat der Sicherheitsforscher Abdulrahman Al-Qabandi in seinem Blog die Schwachstelle und ihre Ausnutzung erläutert (via Bleeping Computer). Microsoft hatte die Sicherheitsbedrohung zwar nur als "Mittel" eingestuft, sie kann aber vor allem eher unbedarfte Nutzer in eine Falle locken. Wer dagegen bereits die in dieser Woche veröffentlichten Oktober Patches für Windows 10 installiert hat, ist bereits auf der sicheren Seite. Proof of Concept CVE-2018-8495Angreifer können ungepatchte Windows 10 PC durch eine Sicherheitslücke in Windows Shell übernehmen, ein Update steht bereit

Schwachstelle in Windows Shell

In der Erläuterung zum Patch hieß es, die Sicherheitslücke (CVE-2018-8495) ermögliche die Ausführung von Remote-Code, wenn Windows Shell unsachgemäß mit URIs umgeht. Damit kann ein Angreifer die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten.

Wichtige Updates

Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen, Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Der Besuch einer manipulierten Webseite, auf der der Nutzer zu einer Aktion die das Bestätigen der Enter-Taste erfordert, wie zum Beispiel dem Klicken eines Buttons aufgefordert wird, startet die Ausführung des Exploits.

Normalerweise sind die Codes, die solche Angriffe ermöglichen sehr komplex. In diesem Fall ist es aber laut Al-Qabandi anders. Der Proof of Concept benötigt nur etwas HTML und JavaScript und kann so auf eigentlichen jeder beliebigen Webseite zum Einsatz kommen. Daher kann er auch potenziell einer größeren Anzahl von Anwendern gefährlich werden, wenn die Systeme nicht gepatcht sind.

Download Windows 10: Kumulativer Patch für das Frühlings-Update Download Windows 10 Update-Assistent Siehe auch: Microsoft, Windows, Windows 10, Windows 10 April Update Microsoft, Windows, Windows 10, Windows 10 April Update
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 17:25 Uhr Mini PC, Desktop Computer, ( Beelink M1, Apollo Lake N3450, HD Graphics, 4GB / 64 GB, Gigabit Ethernet, 4K, USB3.0, Dual-Band Wi-Fi, Dual Output - VGA&HDMI ) MINI PC Windows 10, Mini Computer (4G/64G(Beelink m1) )Mini PC, Desktop Computer, ( Beelink M1, Apollo Lake N3450, HD Graphics, 4GB / 64 GB, Gigabit Ethernet, 4K, USB3.0, Dual-Band Wi-Fi, Dual Output - VGA&HDMI ) MINI PC Windows 10, Mini Computer (4G/64G(Beelink m1) )
Original Amazon-Preis
179,99
Im Preisvergleich ab
179,99
Blitzangebot-Preis
152,99
Ersparnis zu Amazon 15% oder 27
Im WinFuture Preisvergleich

Tipp einsenden