Microsoft untersucht neue Lücke im Windows-Kernel

Einem Blog-Eintrag des Antimalware-Anbieters Prevx zufolge, tauchte vorgestern Proof-of-Concept-Code in einem chinesischen Forum auf. Der Code soll eine lokale Escalation-of-Privileges (EoP)-Schwachstelle in Windows missbrauchen und wird von Prevx als 0day-Lücke bezeichnet, da es noch kein Sicherheitsupdate zum Beheben der Lücke gebe. Schadsoftware, die die beschriebene Lücke aktiv missbraucht, sei von Prevx noch nicht gesichtet worden.
 
Die Schwachstelle soll in win32k.sys entdeckt worden sein, dem Kernel-Mode-Treiber von Windows. Würde die Lücke aktiv missbraucht, könnte der Angreifer auch dann beliebigen Code im Kernel-Modus ausführen, wenn der gerade angemeldete Nutzer nur eingeschränkte Rechte hat. Betroffen sind laut Prevx die Windows Versionen XP, Vista und Windows 7 (32- und 64-Bit-Variante).
 
Microsoft kennt die öffentlich gemachten Details der EoP-Lücke, die unter Umständen im Windows Kernel zu finden ist. Die US-Kollegen sind bereits dabei, die verfügbaren Informationen zu prüfen und werden nach Abschluss der Untersuchung die – falls notwendig – angebrachten Schritte einleiten.
 
Da es sich bei der beschriebenen Lücke um ein lokales Escalation-of-Privilege-Problem handelt, muss ein Angreifer bereits vor dem Missbrauch dieser Lücke in der Lage gewesen sein, Programmcode auf dem PC des Opfers auszuführen. In solchen Fällen hat der Angreifer aber zumeist ohnehin schon die Kontrolle über den PC erlangt und könnte die Maschine kontrollieren.
 
Microsoft nimmt sämtliche gemeldeten Hinweise zu Sicherheitslücken ernst. Um das Risiko für Anwender zu minimieren, sollten gefundene Schwachstellen dem jeweils betroffenen Hersteller gemeldet werden. So ist sicher gestellt, dass ein qualitativ hochwertiges Sicherheitsupdate bereit gestellt werden kann, bevor Cyber-Kriminelle die Lücke missbrauchen können. Das Veröffentlichen von Informationen zu Lücken in frei zugänglichen Foren gefährdet hingegen die Sicherheit der Anwender.