Patch für Zero-Day-Lücke in Microsofts JET Database Engine unwirksam

Der Fehler ist Microsoft bereits seit Mai bekannt. Im September fällt ein erster Patch durch die Qualitätskontrolle des Unternehmens. Der in der vergangenen Woche veröffentlichte Fix schränkt zwar Angriffe auf die Lücke ein, verhindert sie aber nicht.

Ein am vergangenen Dienstag ausgelieferter Patch für eine Sicherheitslücke in der der Microsoft JET Database Engine hat offenbar nicht die gewünschte Wirkung. Das will der Sicherheitsforscher Mitja Kolsek herausgefunden haben, Mitgründer von 0patch. Ihm zufolge kann ein Angreifer die Schwachstelle weiterhin nutzen, um aus der Ferne Schadcode einzuschleusen und auszuführen und die vollständige Kontrolle über ein betroffenes System zu übernehmen.

„Zu diesem Zeitpunkt werden wir nur darlegen, dass wir herausgefunden haben, dass der offizielle Fix etwas anders ist als unser Micropatch, und zwar unglücklicherweise in der Art, dass die Anfälligkeit nur eingeschränkt statt beseitigt wird“, schreibt Kolsek im Blog seines Unternehmens. „Wir haben Microsoft sofort darüber informiert und werden keine weiteren Details oder einen Proof-of-Concept veröffentlichen, bis sie den Fix korrigiert haben.“

Den Fehler in der JET Database Engine hatte Trend Micros Zero Day Initiative entdeckt und Anfang Mai an Microsoft gemeldet. Redmond bestätigte die Sicherheitslücke nur wenige Tage später. Anfang September teilte das Unternehmen mit, es werde einen Patch aufgrund eines Fehlers nicht wie geplant im September bereitstellen. Daraufhin verpasste Microsoft die von Trend Micro gesetzte Frist von 120 Tagen, was am 20. September schließlich zur Offenlegung der Zero-Day-Lücke durch Trend Micro führte.

0patch, das sogenannte Micropatches für Sicherheitslücken entwickelt, hatte seinen ersten Fix für die Schwachstelle bereits im September veröffentlicht, 18 Tage vor Microsofts offiziellem Fix. Inzwischen steht eine neue Version zur Verfügung, die nun Microsofts unvollständigen Patch korrigieren soll. Beide Unternehmen teilten zudem mit, sie hätten noch keine Hinweise darauf gefunden, dass Hacker die Anfälligkeit aktiv ausnutzten.

Die Microsoft JET Database Engine wurde in den Neunziger Jahren entwickelt und für verschiedene Produkte benutzt, unter anderem Access, Visual Basic, Microsoft Project und IIS. Inzwischen wurde die JET Database Engine durch neuere Techniken ersetzt. Um die Abwärtskompatibilität zu erhalten, ist sie jedoch weiterhin in praktisch allen Windows-Versionen integriert.

2018-10-15 20:04:13