Google macht erneut ungepatchte Sicherheitslücke in Windows öffentlich

BetriebssystemSicherheitWorkspace
shutterstock_bug (Bild: Shutterstock)

Es handelt sich um ein Leck in der Speicherverschlüsselungsfunktion von Windows 7 und 8.1. Entdeckt hat es James Forshaw. Er hatte bereits ein Problem mit der Rechteerweiterung im User Profile Service gefunden. Für den seiner Meinung nach zu frühen Hinweis darauf hatte Microsoft Google heftig kritisiert.

Im Rahmen seines “Project Zero” hat Google erneut eine Sicherheitslücke in Windows 7 und 8.1 ausfindig gemacht. Aufgrund seiner selbstauferlegten Richtlinien wurde sie jetzt nach einer Sperrfrist von 90 Tagen öffentlich gemacht. Bei dem Fehler handelt es sich diesmal um ein Leck in der Speicherverschlüsselungsfunktion CryptProtectMemory. Gefunden hat ihn James Forshaw, der auch schon ein bereits behobenes Rechteerweiterungsproblem im User Profile Service von Windows 8.1 entdeckt hatte. Dass die Lücke unmittelbar vor Microsofts Januar-Patchday an die Öffentlichkeit gelangte, sorgte für Verstimmungen zwischen den beiden Unternehmen.

Google hat erneut eien von James Forshaw entdeckte, ungepatchte Sicherheitslücke in Windows öffentlich gemacht (Bild: Shutterstock).

Die neu entdeckte Schachstelle beschreibt James Forshaw als “Impersonation Check Bypass“. Sie könne etwa Probleme verursachen, wenn ein Dienst verschlüsselte Daten in einem für jedermann lesbaren geteilten Speicherbereich ablege.

“Bei Verwendung der Logon-Session-Option (CRYPTPROTECTMEMORY_SAME_LOGON flag) wird der Schlüssel auf Basis des Logon Session Identifier generiert, damit Speicher zwischen verschiedenen Prozessen mit demselben Logon geteilt werden kann. Während dies auch zum Versand von Daten von einem Prozess zu einem anderen genutzt werden könnte, ermöglicht es die Extrahierung der Logon Session ID aus dem Impersonation Token“, erklärt Forshaw.

Dabei handelt es sich um ein Zugangs-Token, das generiert wird, um Sicherheitsinformationen eines Client-Prozesses auszulesen, damit ein Server diesen Client-Prozess bei Sicherheitsoperationen imitieren kann.

“Das Problem besteht darin, dass die Implementierung in CNG.sys nicht das Impersonation-Level des Tokens überprüft, wenn die Logon Session ID (mittels SeQueryAuthenticationIdToken) erfasst wird, sodass ein Standardnutzer sich auf Identifizierungsebene als jemand anderes ausgeben und Daten für diese Logon-Session ent- oder verschlüsseln kann”, so Forshaw weiter. “Allerdings könnte dieses Verhalten auch gewollt sein, selbst wenn es nicht Teil des Designs ist.”

Forshaw hatte die Schwachstelle am 17. Oktober ausfindig gemacht. Microsoft konnte den Bug am 29. Oktober nachvollziehen. Infolge von Kompatibilitätsschwierigkeiten war Microsoft allerdings nicht in der Lage, vor Ablauf von Googles selbst auferlegter Sperrfrist einen Patch herauszugeben. Gelegenheit dazu wäre am Dienstag dieser Woche, dem planmäßigen Januar-Patchday, gewesen.

“Microsoft hat uns darüber informiert, dass sie für den Januar-Patchday einen Fix geplant hatten, diesen aber wegen Kompatibilitätsproblemen zurückziehen mussten. Entsprechend ist der Fix nun mit den Februar-Patches zu erwarten”, schreibt Forshaw in einem Update zu seinem ursprünglichen Fehlerbericht.

Es ist schon das zweite Mal binnen einer Woche, dass Google ein Windows-Leck öffentlicht macht, obwohl Microsoft daran arbeitet es zu beseitigen und Google gebeten hat, mit der Bekanntgabe zu warten. Indem sie nun öffentlich bekannt ist steigt die Gefahr, dass die Schwachstelle ausgenutzt wird, bevor der Patch ausgeliefert wird.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen