Microsoft patcht Windows-Kernel-Bug, der seit August ausgenutzt wird
Microsoft hat zum Februar Patch-Day eine Schwachstelle gefixt, die den Windows-Kernel betrifft. Ärger gibt es um die Sicherheitslücke jetzt dennoch, denn die Experten von Avast hatten den Kernel-Fehler bereits vor über einem halben Jahr gemeldet.
Die Sicherheitslücke mit der Bezeichnung CVE-2024-21338 wurde von einem der Malware-Spezialisten bei Avast entdeckt. Der Fehler betrifft den appid.sys Windows AppLocker-Treiber. Die Sicherheitslücke betrifft sowohl Windows 10 und Windows 11 (einschließlich der neuesten Versionen) sowie Windows Server 2019 und 2022.
In den Release-Notes zum Patch-Day erklärte Microsoft, dass eine erfolgreiche Ausnutzung von CVE-2024-21338 es lokalen Angreifern ermöglicht, System-Rechte in Angriffen mit geringer Komplexität zu erlangen, die keinerlei Nutzerinteraktion erfordern.
"Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zunächst am System anmelden. Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitslücke ausnutzt und die Kontrolle über ein betroffenes System übernimmt", heißt es in der Erläuterung. Da die Schwachstelle nicht für sich allein aus der Ferne ausgenutzt werden kann, hatte es wohl keine Priorität, die Sicherheitslücke zu fixen.
Das Unternehmen hat die Schwachstelle daher erst mit den Updates vom 13. Februar gepatcht und den Hinweis am Mittwoch, den 28. Februar, aktualisiert, um zu bestätigen, dass CVE-2024-21338 in freier Wildbahn ausgenutzt wurde. Von Microsoft bestätigte Details zu diesen Angriffen gibt es bisher aber nicht.
"Aus der Sicht des Angreifers eröffnet der Übergang von der Administrator- zur Kernel-Ebene ganz neue Möglichkeiten. Mit dem Zugriff auf die Kernel-Ebene kann ein Angreifer die Sicherheitssoftware stören, Indikatoren für eine Infektion verbergen (einschließlich Dateien, Netzwerkaktivitäten, Prozesse usw.), die Telemetrie im Kernel-Modus deaktivieren, Abhilfemaßnahmen abschalten und vieles mehr", erklärt Avast.
Windows-Nutzern wird daher dringend empfohlen, die Updates so schnell wie möglich zu installieren, um Angriffe zu blockieren.
Siehe auch:
Warnung kam früh
Das geht aus diversen Medienberichten hervor. Demnach hatte Avast bereits im August Microsoft mit Hinweisen kontaktiert, das die Kernel-Schwachstelle aktiv ausgenutzt wird.Die Sicherheitslücke mit der Bezeichnung CVE-2024-21338 wurde von einem der Malware-Spezialisten bei Avast entdeckt. Der Fehler betrifft den appid.sys Windows AppLocker-Treiber. Die Sicherheitslücke betrifft sowohl Windows 10 und Windows 11 (einschließlich der neuesten Versionen) sowie Windows Server 2019 und 2022.
In den Release-Notes zum Patch-Day erklärte Microsoft, dass eine erfolgreiche Ausnutzung von CVE-2024-21338 es lokalen Angreifern ermöglicht, System-Rechte in Angriffen mit geringer Komplexität zu erlangen, die keinerlei Nutzerinteraktion erfordern.
"Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zunächst am System anmelden. Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitslücke ausnutzt und die Kontrolle über ein betroffenes System übernimmt", heißt es in der Erläuterung. Da die Schwachstelle nicht für sich allein aus der Ferne ausgenutzt werden kann, hatte es wohl keine Priorität, die Sicherheitslücke zu fixen.
Das Unternehmen hat die Schwachstelle daher erst mit den Updates vom 13. Februar gepatcht und den Hinweis am Mittwoch, den 28. Februar, aktualisiert, um zu bestätigen, dass CVE-2024-21338 in freier Wildbahn ausgenutzt wurde. Von Microsoft bestätigte Details zu diesen Angriffen gibt es bisher aber nicht.
Lazarus nutzt die Schwachstelle seit Monaten
Avast hingegen meldet jetzt, dass Hacker der nordkoreanischen Lazarus-Gruppe die Schwachstelle mindestens seit August 2023 in Angriffen ausnutzen, um Zugriff auf die Kernel-Ebene zu erlangen und Sicherheitstools auszuschalten."Aus der Sicht des Angreifers eröffnet der Übergang von der Administrator- zur Kernel-Ebene ganz neue Möglichkeiten. Mit dem Zugriff auf die Kernel-Ebene kann ein Angreifer die Sicherheitssoftware stören, Indikatoren für eine Infektion verbergen (einschließlich Dateien, Netzwerkaktivitäten, Prozesse usw.), die Telemetrie im Kernel-Modus deaktivieren, Abhilfemaßnahmen abschalten und vieles mehr", erklärt Avast.
Windows-Nutzern wird daher dringend empfohlen, die Updates so schnell wie möglich zu installieren, um Angriffe zu blockieren.
Zusammenfassung
- Microsoft schließt Windows-Kernel-Schwachstelle CVE-2024-21338
- Avast meldete den Fehler bereits vor sechs Monaten an Microsoft
- Betrifft Windows 10, 11, Server 2019 und 2022
- Angreifer können ohne Nutzerinteraktion Systemrechte erlangen
- Schwachstelle aktiv von nordkoreanischer Lazarus-Gruppe genutzt
- Kontrolle über betroffene Systeme durch spezielle Anwendung möglich
- Updates vom 13 Februar beheben das Problem, Installation wird empfohlen
Siehe auch:
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon