Höhere Zugriffsrechte unter Windows durch fehlerhaften Treiber
Ursache der Schwachstelle ist ein Buffer Overflow im Treiber secdrv.sys, der nach Angaben von Symantec Bestandteil von Macrovisions Kopierschutz SafeDisc ist.
- Daniel Bachfeld
Ein fehlerhafter Treiber in Windows XP SP2 und Windows Server 2003 SP1 ermöglicht es Anwendern mit eingeschränkten Rechten, an System-Rechte zu gelangen. Ursache der Schwachstelle ist ein Buffer Overflow im Treiber secdrv.sys, der nach Angaben von Symantec Bestandteil von Macrovisions Kopierschutz SafeDisc ist. Die Datei ist im Lieferumfang von Windows enthalten. Mit manipulierten Parametern beim Aufruf ist es möglich, eigenen Code in den Speicher zu schreiben und mit System-Rechten zu starten.
Laut Symantec wird die Schwachstelle auch bereits aktiv ausgenutzt, allerdings muss ein Angreifer Zugriff auf ein System haben. Microsoft soll über das Problem informiert sein, einen Patch gibt es aber noch nicht. Symantec will zwar keine Details zu der Lücke preisgeben, allerdings gibt es mehrere Blogs, die sich mit dem Fehler beschäftigt haben und auch einen Exploit zur Verfügung stellen, der die Lücke demonstriert.
Derartige Privilege-Escalation-Lücken betreffen Heimanwender weniger, da sie in der Regel ohnehin den vollen Zugriff auf ihr System haben. Administratoren in Unternehmen empfiehlt Symantec hingegen, den Zugriff für nicht privilegierte Anwender auf Systeme beziehungsweise Dienste zu sperren. Vista ist nach bisherigem Kenntnisstand nicht betroffen.
Siehe dazu auch:
- Privilege Escalation Exploit In the Wild, Meldung von Symantec
- Symantec warns of local privilege escalation 0Day in Windows. Busted, Blogeintrag auf reversemode.com
- Macrorisión - Windows XP/2k3 0Day, Blogeintrag auf 48Bits.com
(dab)
