RedSun: Chaotic Eclipse veröffentlicht den nächsten Zero-Day-Exploit
Ein Sicherheitsforscher, der unter dem Pseudonym "Chaotic Eclipse" tätig ist, hat innerhalb von zwei Wochen eine weitere bislang unbekannte Schwachstelle in Windows öffentlich gemacht. Diese befindet sich im Virenschutzprogramm Microsoft Defender.
Konkret handelt es sich bei dem Problem um eine lokale Rechteausweitung (Local Privilege Escalation, LPE). Betroffen sind Windows 10, Windows 11 sowie Windows Server-Versionen, sofern Microsoft Defender aktiviert ist. Der Exploit nutzt laut der Beschreibung ein ungewöhnliches Verhalten des Virenscanners aus: Erkennt Defender eine potenziell schädliche Datei mit einem sogenannten Cloud-Tag, schreibt das Programm diese Datei erneut an ihren ursprünglichen Speicherort zurück. Dieses Verhalten kann manipuliert werden, um Systemdateien zu überschreiben und schließlich administrative SYSTEM-Rechte zu erlangen.
Der Sicherheitsanalyst Will Dormann bestätigte die Funktionsfähigkeit des Exploits gegenüber dem US-Magazin BleepingComputer. Demnach nutzt der Angriff unter anderem die Cloud Files API, eine Testdatei für Antivirenprogramme (EICAR) sowie technische Tricks wie sogenannte Oplocks und Verzeichnisumleitungen. Dadurch wird erreicht, dass eine manipulierte Datei in ein sensibles Systemverzeichnis geschrieben und anschließend mit höchsten Rechten ausgeführt wird.
Bereits in der vergangenen Woche hatte "Chaotic Eclipse" mit "BlueHammer" eine ähnliche Schwachstelle publik gemacht, die inzwischen von Microsoft geschlossen wurde. Beide Veröffentlichungen versteht der Forscher als Protest gegen den Umgang des Unternehmens mit externen Sicherheitsmeldungen. Er erhebt schwere Vorwürfe und beschreibt die Zusammenarbeit mit dem Microsoft Security Response Center als äußerst negativ.
Microsoft wies die Kritik zurück und betonte, man untersuche gemeldete Sicherheitsprobleme sorgfältig und setze auf koordinierte Offenlegung, um Nutzer bestmöglich zu schützen.
Siehe auch:
Defender wird zum Angriffspunkt
Der nun vorgestellte Proof-of-Concept-Exploit mit dem Titel "RedSun" ermöglicht es Angreifern, sich unter aktuellen Versionen von Windows weitreichende Systemrechte zu verschaffen. Das funktioniert selbst auf derzeit vollständig gepatchten Systemen, man hat es also mit einer klassischen Zero-Day-Lücke zu tun.Konkret handelt es sich bei dem Problem um eine lokale Rechteausweitung (Local Privilege Escalation, LPE). Betroffen sind Windows 10, Windows 11 sowie Windows Server-Versionen, sofern Microsoft Defender aktiviert ist. Der Exploit nutzt laut der Beschreibung ein ungewöhnliches Verhalten des Virenscanners aus: Erkennt Defender eine potenziell schädliche Datei mit einem sogenannten Cloud-Tag, schreibt das Programm diese Datei erneut an ihren ursprünglichen Speicherort zurück. Dieses Verhalten kann manipuliert werden, um Systemdateien zu überschreiben und schließlich administrative SYSTEM-Rechte zu erlangen.
Der Sicherheitsanalyst Will Dormann bestätigte die Funktionsfähigkeit des Exploits gegenüber dem US-Magazin BleepingComputer. Demnach nutzt der Angriff unter anderem die Cloud Files API, eine Testdatei für Antivirenprogramme (EICAR) sowie technische Tricks wie sogenannte Oplocks und Verzeichnisumleitungen. Dadurch wird erreicht, dass eine manipulierte Datei in ein sensibles Systemverzeichnis geschrieben und anschließend mit höchsten Rechten ausgeführt wird.
AV-Lösungen schlagen manchmal an
Zwar erkennen einige Antivirenlösungen den Exploit, da die EICAR-Testsignatur enthalten ist. Allerdings konnte die Erkennung durch einfache Verschleierungstechniken deutlich reduziert werden. Weitere technische Details veröffentlichte ein anderer Sicherheitsforscher unter dem Namen Kevlar.Bereits in der vergangenen Woche hatte "Chaotic Eclipse" mit "BlueHammer" eine ähnliche Schwachstelle publik gemacht, die inzwischen von Microsoft geschlossen wurde. Beide Veröffentlichungen versteht der Forscher als Protest gegen den Umgang des Unternehmens mit externen Sicherheitsmeldungen. Er erhebt schwere Vorwürfe und beschreibt die Zusammenarbeit mit dem Microsoft Security Response Center als äußerst negativ.
Microsoft wies die Kritik zurück und betonte, man untersuche gemeldete Sicherheitsprobleme sorgfältig und setze auf koordinierte Offenlegung, um Nutzer bestmöglich zu schützen.
Zusammenfassung
- Forscher Chaotic Eclipse veröffentlichte mit RedSun eine neue Zero-Day-Lücke
- Betroffen sind Windows 10, Windows 11 und Server mit aktivem Defender
- Defender kann Dateien mit Cloud-Tag manipuliert zurückschreiben
- So lassen sich Systemdateien überschreiben und SYSTEM-Rechte erlangen
- Analyst Will Dormann bestätigte den Angriff mit Cloud Files API
- Microsoft weist Kritik zurück und verweist auf koordinierte Offenlegung
Siehe auch:
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Microsoft erwartet Verdopplung der Speicherpreise bis Herbst 2027
- Xbox wird noch teurer: Microsoft erhöht Preise, streicht 2-TB-Modell
- Windows 10: Microsoft verlängert Extended Security Updates bis 2027
- Jetzt auch Apple: Deutliche Preiserhöhungen bei MacBooks und iPads
- WM-Streaming zum Sparpreis: Jetzt nur 4,99 Euro bei Waipu.tv
- Forscher finden Mittel gegen multiresistente Keime in Bodenbakterien
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon