Code-Schmuggel-Sicherheitslücke in Windows nur halbherzig geschlossen
Eine Lücke in Windows, die bösartige Webseiten zum Ausführen von Schadcode missbrauchen könnte, lässt sich trotz Update noch eingeschränkt missbrauchen.
(Bild: Primakov/Shutterstock.com)
Die Forscher von positive.security haben in Windows 10 und 11 Schwachstellen im URI-Handler für den Typen ms-officecmd: aufgespürt. Dieser lasse sich beliebige Argumente unterschieben. URI-Handler lassen sich wie Links verstehen, die anstatt Webseiten mit dem Protokoll verknüpfte Programme aufrufen.
Eine darauf basierende Proof-of-Concept-Software (PoC) führte das Ausnutzen der Sicherheitslücke zum Einschleusen von beliebigem Code vor – im Internet Explorer 11 respektive Edge Legacy ohne Benutzerinteraktion vor , einfach durch das Ansurfen einer "bösartigen" Webseite. Das konkrete Beispiel nutzte dafür ein installiertes Microsoft Teams, das via manipuliertem URI-Handler-Aufruf gestartet werden sollte. Stattdessen gelangte der automatisiert heruntergeladene Code zur Ausführung.
In einem Blog-Beitrag beschreiben die positive.security-Mitglieder detailliert, wie sie die Lücken aufgespürt und dabei mit Microsofts Sicherheitsteams kommuniziert haben. Ein erster Patch machte demzufolge den Proof-of-Concept-Code ohne Nutzerinteraktion nutzlos. Andere Programme wie der Webbrowser Chrome ließen sich dergestalt noch immer beliebigen Code unterschieben, benötigten dafür jedoch Bestätigungen vom Anwender. Ein weiteres Update von Microsoft sollte dann weitere Schwachstellen im ms-officecmd:-URI-Handler ausbessern. Dies gelang laut positive.security jedoch bis heute noch nicht vollständig; ein zweiter PoC – mit Benutzerinteraktion – funktioniere noch immer.
Positive.security führen aus, dass sie sich entschlossen hätten, eine Schwachstelle zum Ausführen von Schadcode in einem Standard Windows-10-URI-Handler zu finden, und innerhalb von zwei Wochen Erfolg gehabt hätten. "Berücksichtigt man die Menge an URI-Handlern, mit denen Windows ausgeliefert wird, ist es sehr wahrscheinlich, dass andere ebenfalls anfällig sind", erläutern die Forscher weiter.
Zankäpfel
Die Gruppe streitet mit Microsoft jedoch um die Höhe des Kopfgeldes. Microsoft lobt für Schwachstellen, die ohne weiteres Zutun von Benutzern zum Ausführen von Schadcode führen können, bis zu 50.000 US-Dollar aus. Positive.security erhielt jedoch lediglich 5.000 US-Dollar für "gewöhnliche" Schwachstellen. Auf Beschwerde argumentierte Microsoft, dass der IE11 und Edge Legacy nicht mehr Teil dieses Kopfgeld-Programms seien.
Ein weiterer Streitpunkt ist das Fehlen eines CVE-Eintrags für die Schwachstelle und die somit fehlende öffentliche Kommunikation. Hier erläutern die Redmonder, dass nur für Aktualisierungen via Windows Update auch die Vergabe von CVE-Nummern vorgesehen sei. Änderungen an Webseiten, Downloads via Defender oder den Store erhielten nicht im gleichen Maße CVE-Einträge. Microsoft hat die URI-Handler-Updates offenbar auf letzteren Wegen verteilt.
Die Analytiker von positive-security haben schon im Frühjahr ähnliche Sicherheitslücken in LibreOffice, VLC & Co. entdeckt. Da wurden Links nicht ausreichend geprüft und ermöglichten so Schadcode-Attacken.
(dmk)
