Mit dem aktuellsten kumulativen Updates für Windows 10 hat das Unternehmen eine schwerwiegende Sicherheitslücke im Betriebssystem behoben. Diese Zero-Day Lücke wurde bereits im August 2018 von Kaspersky entdeckt und an Microsoft gemeldet.
Die Sicherheitslücke wird aktiv ausgenutzt und es gibt bekannte Fälle von infizierten PCs im Mittleren Osten. Dabei konnten Angreifer eine Sicherheitslücke in der Win32k-Komponente ausnutzen, um eine Elevation of Privilege durchzuführen und eigenen Code im Kernel-Modus auszuführen. Die Win32k-Komponente hat Objekte im Arbeitsspeicher falsch gehandhabt, wodurch sich die Sicherheitslücke mit der Bezeichnung CVE-2018-8453 ergab.
In Sachen Durchführung war die Lücke allerdings für den Angreifer ohne physischen Zugriff zur Maschine oder eine aktive Handlung durch den Nutzer ohnehin nicht umsetzbar. Der Nutzer musste am PC eingeloggt sein und zuerst ein Schadprogramm ausführen, welches die Sicherheitslücke ausnutzt und auf diese Weise die Kontrolle über das System übernimmt. Dann könnte weiterer Code ausgeführt werden, welcher Programme installiert, Nutzerdaten löscht oder ganz neue Benutzeraccounts erstellt.
Kaspersky hat die Lücke nach Behebung durch Microsoft öffentlich gemacht und gibt die Vermutung ab, dass diese von der Hacker-Gruppe FruityArmor verwendet wurde. Bei der Untersuchung der Schadprogramme habe man festgestellt, dass hochqualitativer Code geschrieben wurde und man ganz klar darauf aus war, den Fehler in möglichst vielen Windows 10-Builds auszunutzen. Das Schadprogramm war auch mit Windows 10 Redstone 4 kompatibel. Mit den gestern ausgelieferten kumulativen Updates für Windows 10 wurde die betreffende Sicherheitslücke für alle unterstützten Versionen des Systems behoben.
Quelle: Kaspersky