Es ist davon auszugehen, dass sich die Sicherheitsforscher von Googles Project Zero bei Microsoft nicht gerade höchster Beliebtheit erfreuen. Immer wieder hatte man in den letzten Monaten Details zu sicherheitsrelevanten Bugs veröffentlicht, bevor der Windows-Hersteller ein Update geschnürt hatte. Drei Monate zwischen Meldung und Update müssten ausreichend sein, beharrte Google zunächst

Reaktionen

Diese Policy hat man zwar mittlerweile etwas abgemildert, die offensive Suche nach Fehlern in Windows bleibt aber aufrecht. Und dabei ist man auf eine Sicherheitslücke gestoßen, auf die Microsoft eher ungewohnt reagiert: Man will sie nämlich gar nicht schließen, wie heise berichtet.

Details

Konkret geht es dabei um einen Fehler, mit dem sich ein lokaler Nutzer Systemrechte verschaffen kann. Dabei nutzt man aus, dass vorinstallierte Antiviren-Tool Defender mit Systemrechten läuft. Dieses wird dazu gebracht einen fingierten Webdav-Server zu scannen. Beim dafür notwendigen Authentifizierungsprozess wird ein NTML-Hash geschickt, der natürlich mit den selben Rechten wie Defender läuft - und für die allgemeine Berechtigungserhöhung "umgeleitet" werden kann.

Exploit

Ein dem Bug-Report angehängter Exploit demonstriert dies, in dem er ohne zusätzliche Rechte eine Datei ins c:\-Verzeichnis schreibt. Mit normalen Nutzerrechten würde dies nicht funktionieren.

Ablauf

Google hatte Microsoft bereits im vergangenen Dezember über das Problem informiert. Bei dem Windows-Hersteller wurde die Beseitigung des Bugs allerdings einige Wochen später abgelehnt. Man befürchte Kompatibilitätsprobleme, argumentiert der Softwarehersteller. Zudem verweist man darauf, dass sich die Ausnutzbarkeit des Fehlers über die Aktivierung von SMB-Signing und SPN-Validierung unterbinden lässt. Beide Funktionen sind allerdings nicht von Haus aus aktiviert, und für Privatnutzer auch nicht unbedingt trivial zu nutzen. (red, 27.3.2015)