Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Zero Day Sicherheitslücke im Windows Kernel entdeckt!

M.Sc. Jan Hörnemann

Eine Zero Day Sicherheitslücke wurde von einer Gruppe von Sicherheitsforschern entdeckt. Diese Lücke ist in einer zentralen Komponente von Windows, dem Kernel enthalten und ist zum Zeitpunkt der Erstellung noch nicht gepatched worden. Die Einstufung dieser Sicherheitslücke ist mit einem CVSS Wert von 8.0 relativ hoch eingeschätzt, da zusammen mit einer anderen Sicherheitslücke viele Rechte erlangt werden können.

Project Zero entdeckt die Schwachstelle

Das Project Zero Projekt von Google besteht aus mehreren IT-Sicherheitsforschern, deren Aufgabe es ist Zero Day Schwachstellen zu finden. Eine Zero Day Schwachstelle trägt diesen Namen, da solch eine Schwachstelle direkt ausgenutzt werden können. Die Zeitspanne zwischen dem Entdecken solch einer Schwachstelle und dem potentiell ersten Angriff liegt bei 0 Tagen.

Solche Schwachstellen gelten als sehr gefährlich, da der Angreifer diese Ausnutzen kann, bevor der Softwarehersteller mit einem Fix reagieren kann. IT-Sicherheitsforscher können helfen solche Sicherheitslücken zu entdecken und zu melden, damit diese Lücke anschließend gefixed werden kann, ohne das Kriminelle diese ausnutzen.

Bug Bounty-Programme, über die wir bereits in der Vergangenheit berichtet haben bezahlen häufig hohe Prämien für solche Zero Day Schwachstellen, da die Gefahr die von solch einer Lücke ausgeht extrem hoch sein kann. In diesem Fall jedoch wurde die Zero Day im Windows Kernel von dem Project Zero Projekt von Google gemeldet.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Zero Day im Windows Kernel

Bereits am 22. Oktober 2020 konnten die Sicherheitsforscher von Google die Schwachstelle im Windows Kernel ausfindig machen. Umgehend wurde Microsoft darüber informiert, damit an einem Fix gearbeitet werden kann. Ein übliches Vorgehen ist es, die Sicherheitslücke nicht öffentlich zu machen, bis diese bereits behoben worden ist, jedoch sind die beteiligten Unternehmen in diesem Fall anders vorgegangen.

Ohne das ein Patch fertig war, wurde die Zero Day im Windows Kernel veröffentlicht, Microsoft und Google entschieden sich für diesen Schritt, da es Anzeichen gibt, dass diese Sicherheitslücke bereits aktiv ausgenutzt wird. Daher wurde eine Woche nach Entdeckung bereits eine Pressemeldung über diese Zero Day veröffentlicht.

„Der Windows-Kernel-Kryptographie-Treiber (cng.sys) stellt ein \Device\CNG-Gerät für User-Mode-Programme bereit und unterstützt eine Vielzahl von IOCTLs mit nicht-trivialen Eingabestrukturen“, heißt es in dem Fehlerbericht. Das Ausnutzen dieser Schwachstelle stellt dem Angreifer die Möglichkeit bereit eine Rechteausweitung zu gebrauchen. Durch solch eine Rechteausweitung kann sich der Angreifer aus der Sandbox bewegen und großen Schaden anrichten.

Besonders gefährlich kann diese Schwachstelle werden, wenn eine andere Zero Day Attacke ebenfalls benutzt wird. Eine weiter Sicherheitslücke bietet die Möglichkeit Schadcode in dem Chrome und Edge Browser auszuführen. Kombiniert ein Angreifer diese beiden Angriffe kann ein großer Schaden entstehen.

Die Zero Day im Edge und Chrome Browser wurden in einem bereits veröffentlichten Update gefixed. Einen Fix zu der Zero Day im Windows Kernel erwarten wir an dem nächsten Patch-Tuesday.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)