Bei Project Zero von Google hat aktuell eine neue Sicherheitslücke veröffentlicht, mit der es möglich ist, auf Windows-Systemen Schadcode aufzuführen und damit eventuell den Rechner zu übernehmen. Besonders brisant: es steht derzeit noch kein Patch zum Download bereit, mit dem man den eigenen PC gegen diese Lücke absichern kann. Microsoft hat zwar angeblich bereits diese Lücke geschlossen, das Update soll allerdings erst mit dem Spring Creatrs Update kommen und wann dieses für alle Nutzer zur Verfügung stehen wird, ist leider noch nicht bekannt. Bis zur Veröffentlichung dieses Updates sind Windows-Rechner über diese Lücke angreifbar.
Zur Beschreibung der Windows 10 Sicherheitslücke heißt es im Original:
The WLDP COM Class lockdown policy contains a hardcoded list of 8 to 50 COM objects which enlightened scripting engines can instantiate. Excluding issues related to the looking up of the correct CLSID (such as previously reported abuse of TreatAs case 40189). This shouldn’t be a major issue even if you can write to the registry to register an existing DLL under one of the allowed COM CLSIDs as a well behaved COM implementation should compare the CLSID passed to DllGetObject against its internal list of known objects.
Turns out .NET is not one of these well behaved COM implementations. When a .NET COM object is instantiated the CLSID passed to mscoree’s DllGetClassObject is only used to look up the registration information in HKCR. At this point, at least based on testing, the CLSID is thrown away and the .NET object created. This has a direct impact on the class policy as it allows an attacker to add registry keys (including to HKCU) that would load an arbitrary COM visible class under one of the allowed CLSIDs. As .NET then doesn’t care about whether the .NET Type has that specific GUID you can use this to bootstrap arbitrary code execution by abusing something like DotNetToJScript
Allerdings sind die Auswirkungen dieser Lücke ncht ganz so gravierend, denn man kann sie nicht ganu so einfach ausnutzen:
- Um die Lücke zu nutzen braucht ein potentieller Angreifer direkten Zugriff auf den PC. Ein Angriff aus der Ferne ist damit nicht möglich – auch Attacken aus dem Internet funktionieren bei dieser Lücke nicht.
- Auf dem PC muss bereits bestimmte Schadsoftware vorhanden sein, dann kann man die Lücke ausnutzen. Auch das ist eher selten der Fall.
Das Gefahrenpotential bei dieser Sicherheitslücke ist also im Vergleich mit anderen Lücken eher gering. Das mag auch ein Grund sein, warum man sie bei Project Zero bereits veröffentlicht hat, obwohl es noch keinen Patch gibt. Unabhängig davon sollte man das neue Update samt den Patch einspielen, sobald es verfügbar ist, um die Lücke abzusichern.
[themoneytizer id=21901-16]