Micropatch für Windows 10 1803

Community-Patch schließt Windows Zero-Day-Lücke

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Für eine Sicherheitslücke in Windows 10 1803 erscheint ein Patch - aber nicht von Microsoft! Mit dem Patch-Agent von 0Patch lassen sich inoffizielle Sicherheitspatches installieren.
Für eine Sicherheitslücke in Windows 10 1803 erscheint ein Patch - aber nicht von Microsoft! Mit dem Patch-Agent von 0Patch lassen sich inoffizielle Sicherheitspatches installieren. (Bild: Joos)

Die Community von 0patch hat einen Patch für die 64-Bit-Version von Windows 10 1803 veröffentlicht, der eine Zero-Day-Sicherheitslücke im Betriebssystem schließt. Das Community-Projekt hat es sich zur Aufgabe gemacht Schwachstellen zu schließen. Bereits in der Vergangenheit hat die Community Patches veröffentlicht.

Die Sicherheitslücke in der ALPC-Schnittstelle (Advanced Local Procedure Call) des Windows Task Schedulers ist derzeit vor allem für Windows 10 64-Bit bestätigt. CERT/CC warnt vor der Lücke, nachdem Details zusammen mit dem Proof-of-Concept (PoC)-Code online gestellt wurden. "Wie der POC zeigt, kann man diese Schwachstelle nutzen, um eine ausführbare Systemdatei zu ersetzen und auf einen privilegierten Prozess zu warten, um sie auszuführen. Insbesondere wurde gezeigt, dass eine druckbezogene DLL ersetzt und dann ausgeführt werden kann, indem der Print Spooler Service ausgelöst wird, um sie zu laden", weist die 0patch-Community in einem Blogbeitrag hin.

Das Problem liegt anscheinend in der SchRpcSetSecurity-Methode des Task-Schedulers, die von außen über ALPC zugänglich ist. Die Methode kann von jedem lokalen Prozess aufgerufen werden und setzt einen gewünschten Sicherheitsbeschreiber (sddl) auf eine Aufgabe oder einen Ordner.

Da die Methode "den anfragenden Client beim Setzen der Sicherheitsbeschreibung nicht imitiert", ändert der Taskplaner die Zugriffskontrollliste der gewählten Datei oder des gewählten Ordners als Benutzer des lokalen Systems für alle Benutzer, auch für Benutzer mit geringen Rechten.

Micropatch von Dritt-Anbieter nutzen

Während der Micropatch das Problem vollständig behebt und selbst Variationen des Exploits verhindert, um die Schwachstelle auszulösen, wird den Benutzern empfohlen, eine von Microsoft bereitgestellte Lösung anzuwenden, sobald diese verfügbar ist. Der inoffizielle Fix kann auch unerwartete Fehler verursachen warnt 0Patch.

Der Windows-Fix hat eine Größe von 13 Bytes und kann direkt auf der Seite der 0Patch-Community heruntergeladen werden. Auf Twitter wurde dazu ein Beitrag veröffentlicht.

Die nächsten Patches von Microsoft werden voraussichtlich am 11. September veröffentlicht. Ob bei der nächsten Veröffentlichung auch diese Lücke geschlossen wird, ist noch nicht klar.

Natürlich ist es auf Unternehmensrechnern nicht sinnvoll im großen Stil einen Patch von Drittherstellern zu veröffentlichen. Allerdings zeigt der Fall auch, dass durch die Community Sicherheitslücken geschlossen werden können, lange bevor Microsoft selbst einen solchen Patch bereitstellt. In Zukunft kann es unter Umständen sinnvoll sein, zumindest in gefährdeten Umgebungen wie Kiosk-Rechnern solche Patches zu installieren. Allerdings besteht hier natürlich die Gefahr, dass unerwartete Komplikationen auftreten. Um Patches von 0Patch zu installieren, ist ein kostenloses Konto notwendig. Auf den entsprechenden PCs wird der 0Patch-Agent installiert. Dieser scannt das Windows-System und kann Patches herunterladen und installieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45481255 / Sicherheitslücken)