„BlueHammer“: Zero-Day-Lücke in Windows verschafft erhöhte Rechte

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Eine Zero-Day-Lücke in Windows verschafft Angreifern erweiterte Rechte im System. Der Entdecker hat ihr den Spitznamen „BlueHammer“ verpasst. Der anonyme mutmaßliche Entdecker hat auf einem eigens dafür eingerichteten Blog einen Link zu einem GitHub-Repository mit dem Handle-Namen „Nightmare Eclipse“ veröffentlicht, das als Proof-of-Concept den Quellcode zum „BlueHammer“-Exploit enthält. Der Entwickler will nicht erklären, wie der Exploit funktioniert: „Ihr Genies könnt das selbst herausfinden.“

Der renommierte IT-Sicherheitsforscher Will Dormann bestätigt auf Mastodon, dass der Exploit funktioniert. Er sei zwar nicht zu hundert Prozent verlässlich, aber gut genug. Dormann vermutet Frust mit dem Microsoft Security Response Center (MSRC) hinter den Umständen der Veröffentlichung. Früher sei mit dem MSRC eine exzellente Zusammenarbeit möglich gewesen. „Um Geld zu sparen, hat Microsoft die begabten Leute gefeuert, was nur noch Paragrafenreiter übrig ließ“. Er wäre nicht überrascht, wenn Microsoft den Fall des Berichterstatters geschlossen hat, weil der kein Video des Exploits übermittelt hat, was inzwischen offenbar eine Anforderung des MSRC sei.

Schwachstelle wohl durch Windows-Defender-Updates

Der Exploit scheint beim Update-Prozess des Windows Defender anzusetzen. Im weiteren Programmfluss setzt der Code dann ein neues Passwort und offenbar Rechte für den Benutzer mittels Zugriff auf die Security Account Manager (SAM)-Datenbank. Im Screenshot, den Will Dormann zum Beleg der Funktionsfähigkeit des Exploits mitliefert, ist auch ein Fenster „Windows Security“ mit einem Scan des Windows Defender zu sehen, was ebenfalls auf den Windows Defender als Einfallstor deutet. Dormann bestätigt das gegenüber BleepingComputer und erklärt, dass der Exploit eine „Time-of-Check Time-of-Use“-Schwachstelle (TOCTOU) und Dateipfad-Wirrungen missbrauche.

Der Exploit verschafft unter Windows 11 Systemrechte. Auf Windows Server haben andere Kommentatoren weniger Erfolg, Dormann zeigt aber auch da, dass Angreifer dadurch immer noch Administratorrechte erlangen können. Der Autor des PoCs räumt auf GitHub auch ein, dass der Code einige Bugs habe, wodurch er nicht funktionieren könne, die er möglicherweise später korrigieren würde.

Microsoft hat derzeit noch kein Update in petto, mit dem sich die Schwachstelle ausbessern ließe. Ein CVE-Schwachstelleneintrag liegt bislang ebenfalls noch nicht vor. Gegenüber BleepingComputer sagte ein Microsoft-Sprecher am Dienstag dieser Woche, dass das Unternehmen sich verpflichtet fühle, Schwachstellenberichten nachzugehen und betroffene Geräte zu aktualisieren, um Kunden so schnell wie möglich zu schützen. Zudem unterstütze Microsoft die koordinierte Schwachstellenveröffentlichung, die am Ende Kunden und IT-Sicherheitsforschern helfe.

Am März-Patchday hatte Microsoft bereits zwei Sicherheitslücken der Kategorie „Zero Day“ geschlossen. Unklar ist, ob die Entwickler sich bis zur kommenden Woche zum nächsten Patchday um die Sicherheitslücke kümmern.

(dmk)