BlueHammer: Exploit-Code für ungepatchte Windows-Lücke öffentlich
Für eine bislang ungepatchte Schwachstelle in Windows ist ein funktionierender Exploit-Code aufgetaucht. Die Sicherheitslücke mit der Bezeichnung "BlueHammer" ermöglicht es Angreifern, die vollständige Kontrolle über ein betroffenes System zu erlangen.
Der Forscher stellte kürzlich ein entsprechendes GitHub-Repository unter einem weiteren Alias online, in dem der fragliche Exploit-Code enthalten war, und äußerte darin deutlich seinen Frust über Microsofts Vorgehen. Konkrete technische Details zur Funktionsweise lieferte er aber bewusst nicht, sondern überließ deren Analyse der Fachcommunity. Gleichzeitig räumte er ein, dass der veröffentlichte Proof-of-Concept-Code Fehler enthalten könne, die eine zuverlässige Ausnutzung erschweren.
Sicherheitsexperten haben die Schwachstelle inzwischen untersucht und bestätigen grundsätzlich ihre Funktionsfähigkeit. Laut Analyst Will Dormann handelt es sich um eine lokale Privilegieneskalation, die auf einer Kombination aus einem sogenannten TOCTOU-Fehler (Time-of-Check to Time-of-Use) und einer Verwechslung von Dateipfaden beruht. Die Ausnutzung ist zwar vergleichsweise komplex, kann einem Angreifer jedoch Zugriff auf die Security Account Manager (SAM)-Datenbank verschaffen, in der Passwort-Hashes lokaler Konten gespeichert sind.
Microsoft erklärte auf Anfrage, man untersuche gemeldete Sicherheitsprobleme grundsätzlich und arbeite daran, betroffene Systeme schnell zu schützen. Zudem betonte das Unternehmen die Bedeutung einer koordinierten Offenlegung von Schwachstellen, um Nutzer und Forschungsgemeinschaft gleichermaßen zu schützen.
Siehe auch:
Finder unzufrieden mit Microsoft
Veröffentlicht wurde der Code von einem Sicherheitsforscher unter dem Pseudonym "Chaotic Eclipse", der eigenen Angaben zufolge unzufrieden mit dem Umgang des Microsoft Security Response Center (MSRC) mit seiner Meldung war, berichtete das Magazin BleepingComputer. Da bislang kein offizieller Patch existiert, gilt die Schwachstelle nach Microsofts Definition als Zero-Day-Lücke.Der Forscher stellte kürzlich ein entsprechendes GitHub-Repository unter einem weiteren Alias online, in dem der fragliche Exploit-Code enthalten war, und äußerte darin deutlich seinen Frust über Microsofts Vorgehen. Konkrete technische Details zur Funktionsweise lieferte er aber bewusst nicht, sondern überließ deren Analyse der Fachcommunity. Gleichzeitig räumte er ein, dass der veröffentlichte Proof-of-Concept-Code Fehler enthalten könne, die eine zuverlässige Ausnutzung erschweren.
Sicherheitsexperten haben die Schwachstelle inzwischen untersucht und bestätigen grundsätzlich ihre Funktionsfähigkeit. Laut Analyst Will Dormann handelt es sich um eine lokale Privilegieneskalation, die auf einer Kombination aus einem sogenannten TOCTOU-Fehler (Time-of-Check to Time-of-Use) und einer Verwechslung von Dateipfaden beruht. Die Ausnutzung ist zwar vergleichsweise komplex, kann einem Angreifer jedoch Zugriff auf die Security Account Manager (SAM)-Datenbank verschaffen, in der Passwort-Hashes lokaler Konten gespeichert sind.
Nicht überall gleich gefährlich
Mit diesem Zugriff können Angreifer ihre Rechte ausweiten und letztlich die vollständige Kontrolle über das System übernehmen, etwa indem sie Prozesse mit höchsten Berechtigungen starten. Tests zeigen allerdings, dass der Exploit nicht in allen Umgebungen zuverlässig funktioniert. Insbesondere auf Windows-Server-Systemen scheint die Ausführung eingeschränkt zu sein und führt dort eher zu einer begrenzten Rechteausweitung. Trotz der Voraussetzung eines lokalen Zugriffs wird die Gefahr als erheblich eingeschätzt.Microsoft erklärte auf Anfrage, man untersuche gemeldete Sicherheitsprobleme grundsätzlich und arbeite daran, betroffene Systeme schnell zu schützen. Zudem betonte das Unternehmen die Bedeutung einer koordinierten Offenlegung von Schwachstellen, um Nutzer und Forschungsgemeinschaft gleichermaßen zu schützen.
Zusammenfassung
- Exploit-Code für ungepatchte Windows-Lücke BlueHammer veröffentlicht
- Forscher Chaotic Eclipse war unzufrieden mit Microsofts Reaktion
- Die Schwachstelle gilt als Zero-Day-Lücke, da kein Patch existiert
- Der Proof-of-Concept-Code wurde über ein GitHub-Repository geteilt
- Es handelt sich um eine lokale Privilegieneskalation via TOCTOU-Fehler
- Angreifer können Zugriff auf die SAM-Datenbank mit Passwort-Hashes erlangen
- Microsoft betont die Bedeutung koordinierter Offenlegung von Schwachstellen
Siehe auch:
Thema:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Microsoft Edge: Login mit einem Google-Konto gestartet
- Hawking-Strahlung nachgewiesen: Physiker messen Effekt im Labor
- Schwerer IT-Ausfall: Bayerische Justiz stundenlang lahmgelegt
- Mecklenburg-Vorpommern streicht jetzt erste Microsoft-Cloud-Dienste
- Insider-Verdacht überschattet Milliarden-Deal für deutschen IT-Konzern
- Notebooksbilliger: Angebote der Woche stark reduziert
- Infineon erwirkt Verkaufsverbot im Halbleiter-Streit um Chips
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen