Fünf Zero-Day-Lücken veröffentlicht – Microsoft will erst später patchen
Das Team der Zero Day Initiative hat Informationen zu fünf Sicherheitslücken veröffentlicht, nachdem Microsoft die gesetzte Frist nicht einhielt.
Das Forscherteam der Zero Day Initiative (ZDI) hat Informationen zu fünf zuvor unbekannten Sicherheitslücken beziehungsweise Angriffsmöglichkeiten auf Windows-Komponenten veröffentlicht, nachdem Microsoft diese innerhalb einer von den Forschern gesetzten 4-monatigen Frist im Rahmen des Responsible-Disclosure-Prozesses nicht geschlossen hatte.
Für vier Lücken hat Redmond allerdings funktionierende "Beta-Patches" an ZDI übermittelt, die zu einem noch nicht näher definierten Zeitpunkt an die Nutzer verteilt werden sollen. Denkbar ist ein Update am kommenden Security-Patchday im Juni. Eine weitere Lücke soll, so Microsoft, in der "aktuellen Version" nicht geschlossen werden. Was genau das bedeutet, ist unklar.
Die jeweils nach 120 Tagen veröffentlichten Informationen beschränken sich gemäß ZDI's Disclosure Policy auf allgemeine Advisories, die keinerlei technische Details oder gar Proof-of-Concept-Code, sondern lediglich eine Kurzbeschreibung des Sicherheitsproblems sowie eine Risikoeinstufung nebst CVSS-Score umfassen. Sie dienen einerseits dazu, Anwender auf die möglichen Gefahren hinzuweisen und sollen andererseits auch den Druck auf die Hersteller erhöhen, doch noch zeitnah ein Update zu veröffentlichen. Verlängerungen der 120-Tage-Frist sind gemäß der Policy auch in Ausnahmefällen (z.B. wenn schon Beta-Patches verfügbar sind) nicht vorgesehen.
Hoher CVSS-Score in vier Fällen
Vier der Sicherheitslücken betreffen die Systemkomponente splwow64.exe (Print driver host) und basieren auf mangelhaften Validierungsmechanismen von durch den Nutzer übergebenen Werten. Rechteausweitung, Codeausführung mit erweiterten Privilegien und Information Disclosure können die Folge sein. Die fünfte Lücke, jene, die Microsoft vorerst nicht schließen will, betrifft WLAN-Verbindungsprofile: Ein Angreifer könnte durch das Anlegen eines "schädlichen Profils" Zugriff auf Credentials erlangen und dadurch letztlich Code mit Admin-Rechten ausführen.
Die Lücken sind laut den Advisories durchweg nur lokal ausnutzbar und die Angriffskomplexität wird als hoch eingestuft. Zum Missbrauch der Lücken sei zunächst die Ausführung von Programmcode mit niedrigen Zugriffsrechten auf dem jeweiligen System erforderlich, schreibt ZDI. Dennoch sollte man die Gefahren nicht unterschätzen: Vier der fünf Lücken wurden von ZDI mit einem CVSS-Score von 7.0 ("High") bewertet. Details zu den Bewertungskriterien kann man über den Link hinter dem CVSS-Score im jeweiligen Advisory ("Vulnerability Metrics") abrufen.
Über aktive Angriffe in freier Wildbahn ist bislang nichts bekannt.
Links und weitere Informationen
- Microsoft Windows WLAN Connection Profile Missing Authentication Privilege Escalation Vulnerability (CVSS-Score 7.0)
- Microsoft Windows splwow64 Untrusted Pointer Dereference Privilege Escalation Vulnerability(CVE-2020-0916, CVSS-Score 7.0)
- Microsoft Windows splwow64 Untrusted Pointer Dereference Privilege Escalation Vulnerability(CVE-2020-0986, CVSS-Score 7.0)
- Microsoft Windows splwow64 Untrusted Pointer Dereference Privilege Escalation Vulnerability(CVE-2020-0915, CVSS-Score 7.0)
- Microsoft Windows splwow64 Untrusted Pointer Dereference Information Disclosure Vulnerability(CVE-2020-0915 /s.o., wohl zwei Angriffsmöglichkeiten, CVSS-Score 2.5)
Angaben zu den jeweils betroffenen Windows-Versionen macht ZDI in den Advisories nicht. Im Abschnitt "Mitigations" rät das Team Nutzern dazu, die Kommunikation/Interaktion mit den verwundbaren Komponenten streng auf berechtigte Clients und Server zu beschränken, bis Updates verfügbar sind.
fdgfdg
(ovw)
