BlueHammer: Exploit-Code für ungepatchte Windows-Lücke öffentlich
Für eine bislang ungepatchte Schwachstelle in Windows ist ein funktionierender Exploit-Code aufgetaucht. Die Sicherheitslücke mit der Bezeichnung "BlueHammer" ermöglicht es Angreifern, die vollständige Kontrolle über ein betroffenes System zu erlangen.
Der Forscher stellte kürzlich ein entsprechendes GitHub-Repository unter einem weiteren Alias online, in dem der fragliche Exploit-Code enthalten war, und äußerte darin deutlich seinen Frust über Microsofts Vorgehen. Konkrete technische Details zur Funktionsweise lieferte er aber bewusst nicht, sondern überließ deren Analyse der Fachcommunity. Gleichzeitig räumte er ein, dass der veröffentlichte Proof-of-Concept-Code Fehler enthalten könne, die eine zuverlässige Ausnutzung erschweren.
Sicherheitsexperten haben die Schwachstelle inzwischen untersucht und bestätigen grundsätzlich ihre Funktionsfähigkeit. Laut Analyst Will Dormann handelt es sich um eine lokale Privilegieneskalation, die auf einer Kombination aus einem sogenannten TOCTOU-Fehler (Time-of-Check to Time-of-Use) und einer Verwechslung von Dateipfaden beruht. Die Ausnutzung ist zwar vergleichsweise komplex, kann einem Angreifer jedoch Zugriff auf die Security Account Manager (SAM)-Datenbank verschaffen, in der Passwort-Hashes lokaler Konten gespeichert sind.
Microsoft erklärte auf Anfrage, man untersuche gemeldete Sicherheitsprobleme grundsätzlich und arbeite daran, betroffene Systeme schnell zu schützen. Zudem betonte das Unternehmen die Bedeutung einer koordinierten Offenlegung von Schwachstellen, um Nutzer und Forschungsgemeinschaft gleichermaßen zu schützen.
Siehe auch:
Finder unzufrieden mit Microsoft
Veröffentlicht wurde der Code von einem Sicherheitsforscher unter dem Pseudonym "Chaotic Eclipse", der eigenen Angaben zufolge unzufrieden mit dem Umgang des Microsoft Security Response Center (MSRC) mit seiner Meldung war, berichtete das Magazin BleepingComputer. Da bislang kein offizieller Patch existiert, gilt die Schwachstelle nach Microsofts Definition als Zero-Day-Lücke.Der Forscher stellte kürzlich ein entsprechendes GitHub-Repository unter einem weiteren Alias online, in dem der fragliche Exploit-Code enthalten war, und äußerte darin deutlich seinen Frust über Microsofts Vorgehen. Konkrete technische Details zur Funktionsweise lieferte er aber bewusst nicht, sondern überließ deren Analyse der Fachcommunity. Gleichzeitig räumte er ein, dass der veröffentlichte Proof-of-Concept-Code Fehler enthalten könne, die eine zuverlässige Ausnutzung erschweren.
Sicherheitsexperten haben die Schwachstelle inzwischen untersucht und bestätigen grundsätzlich ihre Funktionsfähigkeit. Laut Analyst Will Dormann handelt es sich um eine lokale Privilegieneskalation, die auf einer Kombination aus einem sogenannten TOCTOU-Fehler (Time-of-Check to Time-of-Use) und einer Verwechslung von Dateipfaden beruht. Die Ausnutzung ist zwar vergleichsweise komplex, kann einem Angreifer jedoch Zugriff auf die Security Account Manager (SAM)-Datenbank verschaffen, in der Passwort-Hashes lokaler Konten gespeichert sind.
Nicht überall gleich gefährlich
Mit diesem Zugriff können Angreifer ihre Rechte ausweiten und letztlich die vollständige Kontrolle über das System übernehmen, etwa indem sie Prozesse mit höchsten Berechtigungen starten. Tests zeigen allerdings, dass der Exploit nicht in allen Umgebungen zuverlässig funktioniert. Insbesondere auf Windows-Server-Systemen scheint die Ausführung eingeschränkt zu sein und führt dort eher zu einer begrenzten Rechteausweitung. Trotz der Voraussetzung eines lokalen Zugriffs wird die Gefahr als erheblich eingeschätzt.Microsoft erklärte auf Anfrage, man untersuche gemeldete Sicherheitsprobleme grundsätzlich und arbeite daran, betroffene Systeme schnell zu schützen. Zudem betonte das Unternehmen die Bedeutung einer koordinierten Offenlegung von Schwachstellen, um Nutzer und Forschungsgemeinschaft gleichermaßen zu schützen.
Zusammenfassung
- Exploit-Code für ungepatchte Windows-Lücke BlueHammer veröffentlicht
- Forscher Chaotic Eclipse war unzufrieden mit Microsofts Reaktion
- Die Schwachstelle gilt als Zero-Day-Lücke, da kein Patch existiert
- Der Proof-of-Concept-Code wurde über ein GitHub-Repository geteilt
- Es handelt sich um eine lokale Privilegieneskalation via TOCTOU-Fehler
- Angreifer können Zugriff auf die SAM-Datenbank mit Passwort-Hashes erlangen
- Microsoft betont die Bedeutung koordinierter Offenlegung von Schwachstellen
Siehe auch:
Thema:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
-
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - vor 29 Minuten -
Lernen hört nie auf – und dank Open Source
d-hubs - 23.05. 16:04 Uhr -
Münchens Wende hin zu Open Source & Co
d-hubs - 13.05. 11:42 Uhr -
Technical Dutch Open Source Event (T-DOSE)
d-hubs - 11.05. 18:28 Uhr -
Trisquel 12.0 Ecne: - alles freie Software!
d-hubs - 13.04. 15:50 Uhr
Weiterführende Links
Neue Nachrichten
- Xbox-Sparte könnte zum Verkauf stehen: Microsoft soll Optionen prüfen
- Nur für 2 Tage: Tolle Weekend-Deals bei Media Markt und Saturn
- Windows 11: Microsoft spendiert Onboard-Apps große Funktionsupdates
- NASA: Astronauten für Artemis-III-Mission stehen fest, sorgen für Eklat
- Volkswagen-Konzernumbau: VW meldet "Erfolge" durch Stellenabbau
- In nur 24 Stunden: Anthropic Mythos gehackt - Zugriff global gesperrt
- WUSA-Bug in Windows 11: Microsoft liefert nach einem Jahr ein Update
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen