Zweite Runde: Google-Deadline für zwei Microsoft-Sicherheitslücken abgelaufen

Am Donnerstag sind zwei weitere ungepatchte Windows-Schwachstellen bekannt geworden, nachdem die von Google Project Zero selbst auferlegte 90-Tage-Frist vor Veröffentlichung von Sicherheitslücken-Details abgelaufen war.

Microsoft wird mit dem bevorstehenden Patch-Dienstag im Februar nur eine der Sicherheitslücken reparieren, wobei sich beide Seiten darüber einig sind, dass der zweite Bug kein Sicherheitsproblem darstellt.

Diese Einigkeit ist allerdings auch die einzige öffentliche Artigkeit zwischen diesen zwei Technologie-Giganten der Gegenwart. Die Veröffentlichung einer Privilegieneskalations-Sicherheitslücke in Windows durch Google am 29. Dezember führte nicht nur zu einer Wiederbelebung der Debatten über Enthüllungen unter Sicherheitsenthusiasten, sondern verschärfte auch den Ton und das öffentliche Gezänk zwischen den Unternehmen.

Microsoft hat eine Erklärung über seine Philosophie bezüglich der einvernehmlichen Aufdeckung von Sicherheitslücken veröffentlicht und teilte gleichzeitig mit, dass das Unternehmen Google darum gebeten habe, Details über die Sicherheitslücke bis zum Januarupdate zurückzuhalten, das in dieser Woche veröffentlicht wird. Google lehnte ab und veröffentlichte seine Daten.

„Was auch immer Google dazu gebracht haben mag, sich an solche Aufdeckungs-Fristen zu halten, so ist die Entscheidung allem Anschein nach nicht so sehr der Prinzipientreue geschuldet, als vielmehr dem Wunsch, uns vorzuführen, was unter dem Strich den Kunden schaden könnte“, sagt Chris Betz von Microsoft. „Was für Google richtig ist, ist nicht immer auch für die Kunden richtig. Wir rufen Google auf, den Schutz der Kunden zu unserem gemeinsamen vorrangigen Ziel zu erklären.“

Am Donnerstag lief eine weitere Bekanntmachungsfrist des Project Zero aus; der dringlichere der Windows Bugs besteht in einer Umgehung der Impersonations-Überprüfung mit Hilfe der Funktion CryptProtectMemory. Google erklärte, dass ihre Umsetzung in CNG.sys nicht das Level der Impersonation des Tokens beim Abfangen einer Login-Session-ID überprüft.

„Ein gewöhnlicher Nutzer kann einen anderen auf der Identifikationsebene imitieren und die Daten für diese Session verschlüsseln oder entschlüsseln“, schreibt James Forshaw von Google in einer Beschreibung des Bugs. „Das kann zu einem Problem werden, wenn es einen Service gibt, der für eine Attacke zur Installation eines benannten Kanals angreifbar ist oder der verschlüsselte Daten speichert in einer fürs Lesen nach außen offenen Speichersektion mit öffentlichem Zugriff.“

Die Beschreibung enthält zudem ein Proof of Concept-Exploit, das die Sicherheitslücke ausnutzt. Google informierte Microsoft am 17. Oktober über die Schwachstelle. Laut einer Anmerkung in der Beschreibung bestätigte Microsoft am Montag, dass es dem Unternehmen gelungen sei, das Problem zu reproduzieren und das Sicherheitssystem zu umgehen. Eine andere Anmerkung am Donnerstag lautet, dass Microsoft geplant habe, ein Patch für diese Sicherheitslücke in dieser Woche zu veröffentlichen, Kompatibilitätsprobleme allerdings zu einer Verzögerung und Verlegung auf den Februar geführt haben. Die Frist von Google ist am vergangenen Donnerstag ausgelaufen.

„Uns ist nichts über irgendwelche Cyberattacken bekannt, die die zwei öffentlich bekanntgemachten Sicherheitslücken verwenden“, erklärte ein Vertreter von Microsoft gegenüber Threatpost. „Wir arbeiten an einer Lösung des ersten Problems, der CryptProtectMemory-Umgehung. Die Kunden sollten sich darüber bewusst sein, dass eine erfolgreiche Ausnutzung dieser Sicherheitslücke von einem potentiellen Cyberkriminellen die Ausnutzung einer anderen Schwachstelle erfordert.“

Das zweite Problem besteht im Umgehen der Überprüfung der Administratorenrechte im Systemaufruf NtPowerInformation. Die Überprüfung wird vor der Ausführung spezieller Funktionen bezüglich der Energieversorgung durchgeführt.

„In Windows 7 kann man diese Überprüfung umgehen, da die Funktion SeTokenIsAdmin den Level der Impersonation des Tokens nicht beachtet und der übrige Code berücksichtigt ihn ebenfalls nicht“, schreibt Forshaw. „So können Sie als normaler User den Token des Administrators imitieren (durch einen verbundenen Token oder das Abfangen eines Systemtokens) und die geschützten Funktionen aufrufen. In Windows 8+ wurde die Methode SeTikenIsAdmin dahingehend geändert, dass der Level der Impersonation überprüft wird und daher ist es auch nicht mehr angreifbar.“

Google erklärte, dass Microsoft seine Experten darüber informiert habe, dass das Problem auf Windows 7 reproduziert wurde und dass es nicht die Grenze überschritten habe, die vorgegeben ist, damit sein Level auf „macht Behandlung erforderlich“ angehoben werden kann; der Bug ermöglicht es lediglich, an begrenzte Informationen über die Energieeinstellungen zu gelangen. Google stimmte darin überein, dass es sich hierbei nicht um ein kritisches Sicherheitsproblem handelt und veröffentlichte Details und den Proof of Concept.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.