l+f: Obduktion eines Wattwurms
McAfee hat im Oktober den von Microsoft bereitgestellten Sandworm-Patch ausgetrickst und verrät jetzt Details.
- Ronald Eikenberg
Die Sicherheitsexperten von McAfee erklären in ihrem Blog, was es genau mit der Sandworm-Lücke in Windows auf sich hat – und wie es ihnen im Oktober gelang, den von Microsoft bereitgestellten Patch zu umgehen. Die Lücke klaffte demnach in einem COM-Objekt namens Packager, das in allen Windows-Versionen existiert. Spricht man es zum Beispiel über ein Office-Dokument an, kann man im ersten Schritt eine ausführbare Datei im Temp-Ordner platzieren und diese im zweiten Schritt zur Ausführung bringen.
Der Exploit simuliert dabei einen Klick auf den zweiten Eintrag vom Kontextmenü der zuvor abgelegten Datei, womit man häufig eine Installation anstoßen kann. Nach dem ersten Patch war das bei ausführbaren Dateien nicht mehr möglich, allerdings sehr wohl bei Dateien, die nicht selbst ausführbar sind und mit Anwendungen geöffnet werden (etwa ZIP-Archive oder Python-Skripte). McAffee fand einen Weg, in vielen Fällen auch auf diesem Weg beliebige Befehle zu starten. Diesen Angriffsweg hat Microsoft an seinem November-Patchday abgeschnitten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
lost+found: Die heise-Security-Rubrik für Kurzes, Skuriles und manchmal auch Triviales aus dem Bereich IT-Security – mehr davon – als RSS
(rei)
