Eine Zero Day Sicherheitslücke wurde von einer Gruppe von Sicherheitsforschern entdeckt. Diese Lücke ist in einer zentralen Komponente von Windows, dem Kernel enthalten und ist zum Zeitpunkt der Erstellung noch nicht gepatched worden. Die Einstufung dieser Sicherheitslücke ist mit einem CVSS Wert von 8.0 relativ hoch eingeschätzt, da zusammen mit einer anderen Sicherheitslücke viele Rechte erlangt werden können.
Project Zero entdeckt die Schwachstelle
Das Project Zero Projekt von Google besteht aus mehreren IT-Sicherheitsforschern, deren Aufgabe es ist Zero Day Schwachstellen zu finden. Eine Zero Day Schwachstelle trägt diesen Namen, da solch eine Schwachstelle direkt ausgenutzt werden können. Die Zeitspanne zwischen dem Entdecken solch einer Schwachstelle und dem potentiell ersten Angriff liegt bei 0 Tagen.
Solche Schwachstellen gelten als sehr gefährlich, da der Angreifer diese Ausnutzen kann, bevor der Softwarehersteller mit einem Fix reagieren kann. IT-Sicherheitsforscher können helfen solche Sicherheitslücken zu entdecken und zu melden, damit diese Lücke anschließend gefixed werden kann, ohne das Kriminelle diese ausnutzen.
Bug Bounty-Programme, über die wir bereits in der Vergangenheit berichtet haben bezahlen häufig hohe Prämien für solche Zero Day Schwachstellen, da die Gefahr die von solch einer Lücke ausgeht extrem hoch sein kann. In diesem Fall jedoch wurde die Zero Day im Windows Kernel von dem Project Zero Projekt von Google gemeldet.
Zero Day im Windows Kernel
Bereits am 22. Oktober 2020 konnten die Sicherheitsforscher von Google die Schwachstelle im Windows Kernel ausfindig machen. Umgehend wurde Microsoft darüber informiert, damit an einem Fix gearbeitet werden kann. Ein übliches Vorgehen ist es, die Sicherheitslücke nicht öffentlich zu machen, bis diese bereits behoben worden ist, jedoch sind die beteiligten Unternehmen in diesem Fall anders vorgegangen.
Ohne das ein Patch fertig war, wurde die Zero Day im Windows Kernel veröffentlicht, Microsoft und Google entschieden sich für diesen Schritt, da es Anzeichen gibt, dass diese Sicherheitslücke bereits aktiv ausgenutzt wird. Daher wurde eine Woche nach Entdeckung bereits eine Pressemeldung über diese Zero Day veröffentlicht.
“Der Windows-Kernel-Kryptographie-Treiber (cng.sys) stellt ein DeviceCNG-Gerät für User-Mode-Programme bereit und unterstützt eine Vielzahl von IOCTLs mit nicht-trivialen Eingabestrukturen”, heißt es in dem Fehlerbericht. Das Ausnutzen dieser Schwachstelle stellt dem Angreifer die Möglichkeit bereit eine Rechteausweitung zu gebrauchen. Durch solch eine Rechteausweitung kann sich der Angreifer aus der Sandbox bewegen und großen Schaden anrichten.
Besonders gefährlich kann diese Schwachstelle werden, wenn eine andere Zero Day Attacke ebenfalls benutzt wird. Eine weiter Sicherheitslücke bietet die Möglichkeit Schadcode in dem Chrome und Edge Browser auszuführen. Kombiniert ein Angreifer diese beiden Angriffe kann ein großer Schaden entstehen.
Die Zero Day im Edge und Chrome Browser wurden in einem bereits veröffentlichten Update gefixed. Einen Fix zu der Zero Day im Windows Kernel erwarten wir an dem nächsten Patch-Tuesday.
