Es gehört zur Realität des Computeralltags: Sicherheitslücken sind bei Programmen eines gewissen Komplexitätsgrads kaum zu vermeiden. Umso wichtiger ist es, aktiv nach solchen Defekten zu suchen, um sie möglichst früh zu entdecken und zwar vor allem früher als potentielle Angreifer. Oftmals gelingt dies auch – aber eben nicht immer.

Aktive Ausnutzung

Googles Project Zero warnt vor einer kritischen Sicherheitslücke in Windows, die eine unerfreuliche Besonderheit hat: Sie wird bereits aktiv ausgenutzt. Der Treiber für die Windows-Kernel-Kryptografie-Aufgaben, kann von Angreifern dafür missbraucht werden, um erhöhte Rechte auf einem betroffenen Systemen zu erhalten – und so etwa Schadsoftware dauerhaft zu verankern.

Ein Update für dieses Problem gibt es bisher noch nicht. Dass das Project Zero den Fehler nun trotzdem schon öffentlich gemacht hat, liegt an den bereits laufenden Angriffen. In solchen Fällen wird die sonst von den Sicherheitsforschern gewährte Frist von 90 Tagen vor einer Veröffentlichung auf sieben Tage reduziert. Die Überlegung dahinter: Wenn ohnehin bereits Systeme aktiv attackiert werden, sei das öffentliche Interesse, darüber Bescheid zu wissen, größer, als die Geheimhaltung im Interesse des Herstellers.

Kombination

Konkret wird der Windows-Bug derzeit in einer Exploit-Chain mit einem anderen 0-Day-Fehler in der Schriftenbibliothek Freetype ausgenutzt. Freetype wird unter anderem von Chrome und anderen darauf basierenden Browsern wie Edge oder Brave eingesetzt. Durch die Kombination dieser beiden Bugs ist es möglich, über eine manipulierte Webseite Schadcode auf ein Windows-System einzuschmuggeln und mit Systemrechten auszuführen.

Zumindest gibt es in dieser Hinsicht auch eine gute Nachricht: Diese Exploit-Chain funktioniert so nicht mehr. Hat doch Chrome bereits vor einigen Tagen ein Update auf Version 86.0.4240.111 veröffentlicht, das die Freetype-Lücke im Browser bereinigt. Insofern ist zumindest dieser Angriffsvektor von außen verschlossen, solange die Nutzer das aktuelle Update bereits eingespielt haben. Trotzdem bleibt natürlich weiter die Möglichkeit, dass der Windows-Fehler mit anderen Angriffen kombiniert oder schlicht lokal ausgeführt werden könnte.

Umso wichtiger wär es, dass Microsoft auf die Situation rasch reagiert. Eine offiziellen Zeitrahmen für ein Update gibt es bislang noch nicht. Die Project-Zero-Forscher gehen aber davon aus, dass die Lücke mit dem nächsten Patch Day geschlossen wird – das wäre in etwa mehr als einer Woche. Generell würde man sich aber wünschen, dass Hersteller wie Microsoft in solchen Situationen rascher auf aktive Gefährdungen reagieren, und Updates außerhalb der üblichen Rhythmen veröffentlichen.

Alle betroffen

Von dem Fehler sollen sämtliche Windows-Versionen seit Windows 7 hinauf bis zum aktuellsten Windows 10 betroffen sein, die Lücke dürfte also einige Jahre unbemerkt geblieben sein. Auch die Server-Versionen von Windows sollen durch den Bug gefährdet sein. (apo, 2.11.2020)