Microsoft schließt Sicherheitslücke in Xbox-Gaming-Dienst – nach Hickhack
Microsoft hat ein Sicherheitsleck im Xbox Gaming Service abgedichtet. Dem ging jedoch eine Diskussion voraus.
Microsoft hat eine Sicherheitslücke im Xbox Gaming Service bestätigt und eine Software-Aktualisierung veröffentlicht, die sie stopft. Dem gingen Diskussionen darüber voraus, ob es sich überhaupt um eine Sicherheitslücke handelt.
Die Schwachstelle hat Filip Dragović entdeckt und dazu einen Github-Eintrag mitsamt eines Proof-of-Concept-Exploits (PoC) veröffentlicht. Die Lücke betrifft den Dienst Xbox GamingService, der standardmäßig nicht aktiv ist, sondern in Windows etwa aus dem Microsoft Store nachinstalliert werden kann. Wie Dragović ausführt, können Nutzerinnen und Nutzer mit niedrigen Rechten dadurch an SYSTEM-Rechte gelangen (CVE-2024-28916, CVSS 8.8, Risiko "hoch"). Von Microsoft bekam er als Reaktion auf die Schwachstellenmeldung als Antwort: Es scheint, dass hier keine Sicherheitsgrenze überschritten wurde ("It appears, that no security boundary is being broken here").
Microsoft: Spätere Kehrtwende
Der bekannte IT-Sicherheitsforscher Will Dormann ist Dragović jedoch zur Seite gesprungen.
"Ich verstehe, dass MSRC [Microsoft Security Response Center, Anm. der Redaktion] oft hin und her schwankt zwischen dem, was eine Sicherheitsgrenze ist und was nicht für einige Dinge (d.h. Admin zu Kernel). Wenn aber nicht-administrative Nutzer reproduzierbar SYSTEM-Rechte erlangen können und das MSRC sagt, 'dass hier keine Sicherheitsgrenze überschritten wurde', kann man sich wirklich nur wundern", schreibt Dormann auf X, ehemals Twitter.
Offensichtlich führten solche Reaktionen dazu, dass Microsoft die Einschätzung noch mal überprüft hat. Etwas später schrieb Dragović auf X, dass Microsoft die Einschätzung korrigiert habe.
"Auf einmal denkt das MSRC doch, dass das ein echtes Problem ist. Ich lach mich kaputt [Lmao]", hat Dragović zu dem Screenshot einer Nachricht von Microsoft geschrieben. Demnach schrieb das MSRC: "Wir haben weitere Team-Mitglieder gebeten, den Fall noch einmal anzusehen. Dabei sind wir zu dem Schluss gekommen, dass es sich um eine wichtige Bedrohung handelt und haben das Team informiert, das berichtete Problem zu korrigieren".
Lesen Sie auch
Microsoft: März-Updates können Windows Server lahmlegen
Im Laufe des Mittwochs dieser Woche hat Microsoft dann einen Schwachstelleneintrag veröffentlicht. Die Bewertung des Risikos der Lücke streift mit einem CVSS-Wert von 8.8 nur ganz knapp an "kritisch" vorbei. Das Update sollte demnach automatisch verteilt werden. Die Installation lasse sich durch Aufrufen von Windows Update und der Update-Suche dort gegebenenfalls beschleunigen. Die Version 19.87.13001.0 und neuere beheben den sicherheitsrelevanten Fehler. Die Version lasse sich an der Windows Powershell mit dem Befehl get-appxpackage Microsoft.GamingServices
prüfen, ergänzt Microsoft.
(dmk)