Windows Update führt auch ungeprüft Schadcode auf Systemen aus
Die kürzlich bekannt gewordene Schwachstelle im Windows Defender hat dafür gesorgt, dass die Aufmerksamkeit wieder stärker auf grundlegende Schwächen in der Architektur von Windows-Komponenten gezogen wurde - und das zeigt nun Wirkung.
Der Sicherheitsforscher David Middlehurst von MDSec hat darauf hingewiesen, dass Angreifer mit dem Windows Update-Tool Schadcode an den Sicherheitsvorkehrungen des Betriebssystems vorbeischleusen können. Denn dieses bietet die Möglichkeit, Code aus einer frei wählbaren DLL-Datei zu laden und auszuführen, während die Windows User Account Control (UAC) oder die Windows Defender Application Control (WDAC) umgangen werden.
Abgewickelt wird ein entsprechender Angriff über den Kommandozeilen-Zugang zu Windows Update, berichtet das US-Magazin Bleeping Computer. Hier lässt sich das DLL-File folgendermaßen auswählen:
wuauclt.exe /UpdateDeploymentProvider [Pfad_zur_DLL] /RunHandlerComServer
Ausführung des Codes aus einer DLL
Die Sicherheitsmaßnahmen des Betriebssystems sorgen eigentlich dafür, dass nur Code ausgeführt wird, der von Microsoft signiert ist (es sei denn, der Nutzer selbst erteilt mit seinen Rechten andere Anweisungen). Ein Angreifer macht sich hier nun aber die Tatsache zunutze, dass der Schadcode in der DLL von Windows Update als signiertem Programm ausgeführt wird, was problemlos zugelassen wird.
Die Schwachstelle in der Architektur ist letztlich nicht sonderlich dramatisch, kann aber eben einen recht eleganten Zugang zum Inneren eines Systems öffnen, wenn man sich nicht mit der Brechstange durch die üblichen Schranken arbeiten will. Middlehurst will auch schon ein Beispiel für einen realen Angriff gefunden haben, der auf das Konzept setzt. Entsprechend ist damit zu rechnen, dass Microsoft zwar nicht in Hektik verfällt, das Problem in absehbarer Zeit aber angehen wird.
Abgewickelt wird ein entsprechender Angriff über den Kommandozeilen-Zugang zu Windows Update, berichtet das US-Magazin Bleeping Computer. Hier lässt sich das DLL-File folgendermaßen auswählen:
wuauclt.exe /UpdateDeploymentProvider [Pfad_zur_DLL] /RunHandlerComServer
Ausführung des Codes aus einer DLL
Die Sicherheitsmaßnahmen des Betriebssystems sorgen eigentlich dafür, dass nur Code ausgeführt wird, der von Microsoft signiert ist (es sei denn, der Nutzer selbst erteilt mit seinen Rechten andere Anweisungen). Ein Angreifer macht sich hier nun aber die Tatsache zunutze, dass der Schadcode in der DLL von Windows Update als signiertem Programm ausgeführt wird, was problemlos zugelassen wird.
Echter Angriff schon entdeckt
Ein entsprechender Angriff setzt natürlich voraus, dass das entsprechende System bereits in anderer Form kompromittiert wurde und der Angreifer überhaupt den Ladebefehl absetzen kann. Außerdem muss er natürlich auch seinen Code auf den Rechner bekommen. Das aber ist recht einfach möglich, da Windows zahlreiche Optionen bietet, Code von außen nachzuladen.Die Schwachstelle in der Architektur ist letztlich nicht sonderlich dramatisch, kann aber eben einen recht eleganten Zugang zum Inneren eines Systems öffnen, wenn man sich nicht mit der Brechstange durch die üblichen Schranken arbeiten will. Middlehurst will auch schon ein Beispiel für einen realen Angriff gefunden haben, der auf das Konzept setzt. Entsprechend ist damit zu rechnen, dass Microsoft zwar nicht in Hektik verfällt, das Problem in absehbarer Zeit aber angehen wird.
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen