Sie steckt in der Funktion Microsoft Data Sharing. Ein Angreifer kann mit dem bereits verfügbaren Proof-of-Concept Systemdateien ohne Administratorrechte löschen. Betroffen sind Windows 10, Windows Server 2016 und Server 2019.
Der Twitter-Nutzer SandboxEscaper hat erneut eine Zero-Day-Lücke in Windows öffentlich gemacht, und zwar zum zweiten Mal innerhalb von nur zwei Monaten. Auf GitHub veröffentlichte er zudem einen Proof-of-Concept, mit dem sich der Fehler nachvollziehen lässt. Damit stehen alle Details zur Verfügung, um Malware für die Schwachstelle zu entwickeln.
Der Fehler steckt in der Funktion Microsoft Data Sharing, die als lokaler Dienst den Austausch von Daten zwischen Anwendungen ermöglicht. Nach Angaben mehrerer Sicherheitsexperten, die sich mit der Zero-Day-Lücke beschäftigt haben, kann ein Angreifer die Anfälligkeit benutzen, um seine Benutzerrechte auszuweiten. In Kombination mit einer Lücke, die eine Remotecodeausführung nur mit den Rechten des angemeldeten Benutzers erlaubt, wäre es also möglich, ein Windows-System vollständig zu kompromittieren.
Der Beispielcode von SandboxEscaper ist in der Lage, Dateien zu löschen, für die normalerweise Administratorrechte benötigt werden. Die Experten gehen davon aus, dass sich die Schwachstelle aber auch für andere Aktion einsetzen lässt.
Betroffen sind demnach nur aktuelle Windows-Versionen, angefangen bei allen unterstützten Versionen von Windows 10 inklusive dem Oktober-2018-Update. Außerdem sollen Windows Server 2016 und auch Server 2019 angreifbar sein. Ältere OS-Versionen sind laut Will Dormann vom US-CERT nicht betroffen, da ihnen die fehlerhafte Datei dssvc.dll fehlt.
Auch die erste von SandboxEscaper im August öffentlich gemachte Sicherheitslücke ermöglichte eine nicht autorisierte Ausweitung von Benutzerrechten sowie das Löschen von Dateien. Laut Sicherheitsexperte Kevin Beaumont prüfte Windows in dem Fall die Berechtigungen des Nutzers nicht. Microsoft lieferte schließlich im September den benötigten Patch aus. Zuvor war es Cyberkriminellen allerdings gelungen, die Anfälligkeit für ihre Zwecke einzusetzen.
Mitja Kolsek, CEO von Acros Security, rät zudem dringend ab, den Proof-of-Concept für die neue Zero-Day-Lücke auszuführen. Die auf GitHub erhältliche Datei deletebug.exe lösche nämlich die Systemdatei pci.sys, ohne die ein Start von Windows nicht möglich sei.
Microsofts nächster Patchday findet am 14. November statt. Ob drei Wochen ausreichend sind, um einen Fix für die Schwachstelle zu entwickeln, bleibt abzuwarten.
BAT-T11 akkus für Acer Liquid Z630 Z630S
AC13C34 akkus für Acer Aspire V5-122P E3-111
613764-001 DPS-320NB HP 8200 6200 6000 8000 8080 Netzteile/Adapters
A3514_ESM Samsung SyncMaster Display Monitor Power Netzteile/Adapters
061384 061385 akkus für BOSE SOUNDLINK Mini serie
ML03XL akkus für HP Spectre x2 12-A001DX