Google veröffentlicht ungepatchtes Windows-Leck

BetriebssystemSicherheitSicherheitsmanagementWorkspace
Google zeigt Windows-Leck (Screenshot: Google)

Die Schwachstelle kann Angreifern Administratorrechte verschaffen. Laut Google weiß Microsoft schon seit dem 30. September Bescheid. Der Suchmaschinenanbieter hat ein “Proof of concept” für Windows 8.1 produziert.

Ein Google-Forscher hat eine Windows-Schwachstelle veröffentlicht, zu der es auch drei Monate nach der Bekanntgabe an Microsoft noch immer keinenPatch gibt. Über die Lücke kann sich ein Hacker Admin-Rechte erobern, wenn er schon das Passwort eines Nutzers mit beschränkten Zugriffsrechten hat.

Google zeigt Windows-Leck (Screenshot: Google)
Beispielcode für eine Windows-Schwachstelle verschafft dem Taschenrechner Administratorrechte (Screenshot: Google).

Die Schwachstelle steckt in einer internen Funktion namens AhcVerifyAdminContext, zu der es keine öffentlichen Informationen zu geben scheint. Dem Entdecker zufolge ist sie nicht Teil der eigentlichen Benutzerkontensteuerung (UAC).

Der Google-Mitarbeiter mit dem Handle “forshaw” – wahrscheinlich handelt es sich um James Forshaw von Project Zero – hat das Leck ausschließlich auf einem aktuellen System mit Windows 8.1 inklsive aller Patches untersucht. Er legte auch einen Proof-of-Concept-Code vor. Ob er sich unter früheren Windows-Versionen, beispielsweise dem verbreiteten Windows 7, einsetzen lässt, ist unklar.

Microsoft erklärte noch am Silvesterabend, es arbeite an einem Patch. “Wichtig ist der Hinweis, dass ein potenzieller Angreifer, um sie auszunutzen, schon über gültige Zugangsdaten verfügen und sich lokal einloggen müsste.” Als Schutz empfiehlt es eine aktuelle Antivirensoftware, Installation aller Sicherheitsupdates und Aktivierung der Firewall.

Google teilt ergänzend mit, Microsoft sei bereits am 30. September über den Fehler informiert worden – an dem Tag, an dem Forshaw seinen Befund auf einer internen Google-Liste kommunizierte. Project Zero sehe grundsätzlich eine Sperrfrist von drei Monaten vor der Veröffentlichung von Details vor, wie seit Gründung der Initiative Mitte 2014 bekannt. Man evaluiere aber konstant, ob eine Anpassung des Zeitlimits sinnvoll sei. Die Zero Day Initiative von HP TippingPoint beispielsweise sieht vier Monate Frist vor.

Der Beispielcode von Forshaw ist übrigens an sich nicht sehr bedrohlich, auch wenn er sich für üblere Zwecke anpassen lässt: Er macht den Windows-Taschenrechner zum Administrator. Bei einem Versuch von ZDNet.com stufte die laufende Antivirensoftware Norton Security beide Dateien des Proof-of-Concept als Schadsoftware ein.

[mit Material von Florian Kalenda , ZDNet.de]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen