Microsoft: Google-Forscher entdecken ‚unfassbar böse Sicherheitslücke‘ im Windows Defender
Googles Sicherheitsforscher arbeiten nicht nur an den Produkten aus dem eigenen Unternehmen, sondern forscht im Rahmen des Project Zero auch an den Produkten vieler anderer Unternehmen. So kommt es immer wieder vor dass Googles Mitarbeiter Sicherheitslücken in populären Anwendungen finden und veröffentlichen. Jetzt hat das Team dabei geholfen eine „unfassbar böse Sicherheitslücke“ in Microsoft Windows zu stopfen.
Sicherheitslücken gibt es vermutlich in jedem Software-Produkt, vor allem wenn es im Laufe der Jahre zu beachtlichen Größen anwächst und von umfangreichen Teams entwickelt wird. Googles Forscher des Project Zero begeben sich immer wieder auf die Suche nach solchen Lücken und helfen dabei mit, populäre Produkte sicher zu gestalten und somit auch die Produkte von anderen Unternehmen sicher zu gestalten. Microsoft ist dabei ein häufiges „Opfer“.
Zwei Google-Forscher haben am Wochenende für Aufsehen gesorgt, als sie verkündet haben eine schwere Lücke in Windows gefunden zu haben, die sie gleich einmal mit „unfassbar böse“ beschrieben haben. Normalerweise gibt Google dem Unternehmen nach der Entdeckung eine Frist von 90 Tagen bis zur Veröffentlichung der Lücke – was für einen großen Konzern wie Microsoft ausreichen sollte. Immer wieder gab es dabei Ärger, da MS es nicht rechtzeitig geschafft hat oder die Updates nicht an alle Nutzer verteilen konnte.
.@natashenka Attack works against a default install, don't need to be on the same LAN, and it's wormable. ?
— Tavis Ormandy (@taviso) 6. Mai 2017
In diesem Fall hatte Microsoft aber schnell reagiert und hat die Lücke innerhalb von nur einem Tag gestopft, so dass diese jetzt öffentlich gemacht werden konnte. Die Lücke klaffte ausgerechnet im Schutz-Programm Windows Defender, der dazu genutzt werden konnte um beliebigen Code mit Administrator-Rechten auszuführen. Das „unfassbar böse“ dürfte sich wohl darauf beziehen, dass ausgerechnet dieses Programm genutzt werden kann und dass man dabei auch gleich noch Admin-Rechte erlangt.
Still blown away at how quickly @msftsecurity responded to protect users, can't give enough kudos. Amazing.
— Tavis Ormandy (@taviso) 9. Mai 2017
Microsoft hatte noch in der Nacht ein Notfall-Update veröffentlicht, mit dem die Lücke gestopft wird. Diese Geschwindigkeit überraschte selbst den Entdecker, aber MS hat wohl die Schwere der Lücke erkannt. Wer sich nicht ganz sicher ist ob das Update bereits eingespielt wurde, muss sich einfach nur die Versionsnummer des Defenders ansehen. Diese sollte jetzt 1.1.13704.0 lauten und somit auf dem neuesten Stand sein. Da MS so schnell reagiert hat ist es aber eher unwahrscheinlich dass jemand jetzt versucht diese Lücke auszunutzen.
Microsoft hat nach dem Stopfen der Lücke noch Viele Details zu dem Problem veröffentlicht. Das Update wurde sowohl für Windows 7 als auch 8.x, RT und Windows 10 ausgerollt.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Das gefährliche an der Lücke war das der Defender das Ausführen der Lücke auslösen konnte.
Das Beispiel war dass eine schadhafte Datei runtergeladen wird (z.B. Email-Anhang) und der Defender die Datei automatisch scannt, und durch eben diesen Scan konnte der Angriff ausgelöst werden.
Das heißt der Nutzer musste nicht einmal etwas tun wie z.B. die Datei öffnen.