Googles Project Zero ist eines der fähigsten Hacker-Teams der Welt und sucht für den Suchmaschinenkonzern nach Sicherheitslücken (genauer gesagt: nach Zero Day-Lücken) in beliebten Produkten. Jetzt haben die Spezialisten von Project Zero eine Sicherheitslücke im Windows-Kernel veröffentlicht, die schon aktiv ausgenutzt wird.

In Kombination mit anderen Sicherheitslücken wird die Schwachstelle in Browsern benutzt, um in ein System eindringen zu können. Für diese Kernel-Sicherheitslücke gibt es aktuell noch keine Patches von Microsoft!

Diese Zero Day (CVE-2020-17087) haben die beiden  Sicherheitsforscher Mateusz Jurczyk und Sergei Glazunov von Googles Project Zero entdeckt und die Lücke auch am 22. Oktober an Microsoft gemeldet. Nachdem deutlich wurde, dass die Schwachstelle schon aktiv ausgenutzt wird, hat sich Google nur sieben Tage danach dazu entschlossen, die Sicherheitslücke jetzt zu veröffentlichen.

“Der Windows-Kernel-Kryptographie-Treiber (cng.sys) stellt ein \Device\CNG-Gerät für User-Mode-Programme bereit und unterstützt eine Vielzahl von IOCTLs mit nicht-trivialen Eingabestrukturen”, liest man in dem Fehlerbericht. Das stelle eine lokal zugängliche Angriffsfläche dar, welche zur Ausweitung der Rechte oder zum Ausbruch aus einer Sandbox genutzt werden könne.

Der Angriff  kombiniert zwei Zero Days-Lücken

Bei einem Angriff wird die Zero Day-Lücke in Kombination mit einer weiteren Sicherheitslücke in der sowohl im Chrome- als auch im Edge-Browser verwendeten FreeType-Bibliothek genutzt.

Die erste gestattet das Ausführen von Schadcode innerhalb der Browser  Chrome oder Edge, und die zweite ermöglicht den Ausbruch aus der Browser-Sandbox. Dieses sogenannte Chaining (Hintereinanderketten) vonmehreren  Sicherheitslücken wird häufiger für Attacken genutzt. Die Lücken in Chrome und Edge wurden allerdings schon geschlossen, entsprechende Updates der Browserhersteller sind verfügbar.

Die Kernel-Lücke im Kryptographie-Treiber soll schon mindestens seit Windows 7 existieren und lässt sich mit einem jetzt auch veröffentlichten Proof-of-Concept-Code (PoC) unter Windows 10 (64Bit) ausnutzen. Ein Patch dagegen dürftze zum 10. November, dem nächsten Microsoft-Patchday, herauskommen.

Aktuell soll Microsoft an einem Fix arbeiten, bestätigte ein Konzern-Sprecher dem Onlinemagazin The Register.