Windows 0-Day-Kernel-Schwachstelle entdeckt – sie wird bereits ausgenutzt
Googles Project Zero hat eine 0-Day-Schwachstelle im Windows-Kernel entdeckt, die im Chrome-Browser im Rahmen eines Exploit-Chain bereits ausgenutzt wird.
(Bild: Eviart/Shutterstock.com)
- Günter Born
Der Windows-Kernel-Kryptographie-Treiber (/cng.sys/) stellt ein /\Device\CNG/-Gerät für User-Mode-Programme bereit und unterstützt eine Vielzahl von IOCTLs-Aufrufen mit nicht-trivialen Eingabestrukturen. Dieser Treiber stellt eine lokal zugängliche Angriffsfläche dar, die zur Privilegien-Eskalation ausgenutzt werden kann. Sicherheitsforscher fokussieren sich daher auf diesen Treiber, um Schwachstellen zu finden.
Am 22. Oktober 2020 entdeckten Mateusz Jurczyk und Sergei Glazunov von Googles Project Zero eine 0-Day-Schwachstelle (CVE-2020-17087) im Windows-Kernel. In einem Proof-of-Concept konnten sie unter Windows 10 1903 (64-Bit) einen Integer-Overflow samt einem Absturz des Betriebssystems provozieren. Die Schwachstelle bietet die Möglichkeit einer Privilegienerhöhung (Privilege Escalation), so dass Malware aus einer Sandbox ausbrechen könnte. Dies betrifft sowohl die in Browsern als auch in einigen Windows-Sicherheitsfunktionen sowie in Virenscannern zur Isolierung von Prozessen genutzten Sandboxen.
Wird per Exploit-Chain ausgenutzt
Die Sicherheitsforscher von Project Zero haben sich entschlossen, die 0-day-Schwachstelle, für die es von Microsoft noch keinen Patch gibt, innerhalb einer Frist von 7 Tagen zu veröffentlichen. Der Hintergrund: Dem Team liegen Beweise vor, dass diese 0-Day-Schwachstelle im Zusammenspiel mit einer kürzlich entdeckten 0-Day-Schwachstelle in der vom Chromium-Browser (Google Chrome, Microsoft Edge) verwendeten FreeType-Programmbibliothek bereits per Exploit-Chain bei Angriffen ausgenutzt wird.
Der Chrome 0-Day Exploit (CVE-2020-15999) wurde inzwischen durch Updates des Google Chrome 86.0.4240.111 geschlossen. Auch beim Microsoft Edge-Browser wurde in der Version 86.0.622.51 die aktiv ausgenutzte Schwachstelle in der Programmbibliothek FreeType beseitigt. Windows-Nutzer sollten auf jeden Fall sicherstellen, dass verwendete Chromium-basierende Browser (z.B. auch Vivaldi) bezüglich dieser Schwachstelle gepatcht sind.
Windows 7 bis Windows 10 betroffen
Die Sicherheitsforscher vom Projekt Zero gehen davon aus, dass die Schwachstelle CVE-2020-17087 im Windows-Kernel-Kryptographie-Treiber (/cng.sys/) seit Windows 7 besteht. Damit wären alle Windows-Versionen, von Windows 7 bis zur aktuellen Windows 10 20H2, samt den Server-Pendants betroffen. Beim Google Project Zero geht man davon aus, dass die Microsoft gemeldete Schwachstelle zum nächsten Patchday am 10. November 2020 geschlossen wird.
(bme)
