WinFuture-Forum.de: Sicherheitslücke Windows Win32k.sys - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

Sicherheitslücke Windows Win32k.sys Schon wieder eine neue Microsoft Sicherheitslücke


#1 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 07. August 2010 - 17:26

Sicherheitsforscher haben eine neue Sicherheitslücke in Windows gefunden,
demnach sollen alle Windows Versionen inklusive Windows 7 betroffen sein.
http://hehe.xs4all.nl/blog/2010/08/07/unpa...ndows-versions/
Die Lücke soll sich zum Privilegien erweitern ausnutzen lassen.
Die Windows sudo Kopie UAC könnte also ausgehebelt werden.

Edit:
Hier das Secunia Advisory:
http://secunia.com/advisories/40870
Und hier das Vupen Advisory:
http://www.vupen.com...ories/2010/2029

Dieser Beitrag wurde von Internetkopfgeldjäger bearbeitet: 07. August 2010 - 17:40

0

Anzeige



#2 Mitglied ist offline   Tiggz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 918
  • Beigetreten: 13. September 06
  • Reputation: 24
  • Geschlecht:unbekannt

geschrieben 07. August 2010 - 18:36

Ist/war doch nur Panikmache von dem selbsternannten Sicherheitsforscher Arkon :unsure: .

In den Advisories heißt es jeweils sinngemäß, die Lücke lasse sich eventuell ausnutzen, um beliebigen Code mit höchsten Rechten auszuführen. Entsprechend aufgeregt waren die ersten Reaktionen auf die Entdeckung: Die Rede war von einer "kritischen Sicherheitslücke in Windows" und einer "neuen Zero-Day-Lücke". Doch bislang sind noch keine Exploits bekannt. Arkon bezweifelt in einer Ergänzung seines Postings auch, dass es sie überhaupt geben wird. Nach seiner Einschätzung ist es "nicht trivial", die Lücke auszunutzen, da ein Angreifer keine beliebigen Daten an die betroffene Funktion übergeben kann und er fast nichts über den Ort und Aufbau des Heaps wissen kann. Auch Secunia und Vupen stufen den Fehler als "less criritcal" beziehungsweise "moderate risk" ein.

http://www.heise.de/newsticker/meldung/Kri...er-1052188.html

Dieser Beitrag wurde von Tiggz bearbeitet: 07. August 2010 - 18:54

0

#3 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 07. August 2010 - 19:19

Beitrag anzeigenZitat (Tiggz: 07.08.2010, 19:36)

Ist/war doch nur Panikmache von dem selbsternannten Sicherheitsforscher Arkon :unsure: .

Da darf man aber nicht vergessen das weder Secunia, noch Vupen die Windows Sicherheitslücke entdeckt haben. Genauso wie Microsoft warten die auch, bis den Microsoft Windows Usern richtig was passiert. Microsoft bewegt sich ja immer erst dann, wenn die Sicherheitslücke ausgenutzt wird.
Man darf also mal wieder auf Exploits gespannt sein und darauf, wenn das beliebte Zeus Botnet & Co, oder der Polymorphe Virus Sality, oder andere, diese Lücke zu nutzen auch adaptieren, wie schon bei der beliebten Microsoft Windows LNK Sicherheitslücke.
Microsoft war die Windows LNK Sicherheits auch schon vor Jahren bekannt gemacht worden,
die haben aber damals ganz genau gar nichts dagegen gemacht.
Wie lange die also bereits schon ausgenutzt wurde, bis das in den Medien genug breitgetreten wurde und Microsoft gezwungen war, endlich etwas gegen diese LNK Sicherheitslücke zu tun,
was dann mit hinreichend öffentlichem Druck plötzlich erstaunlich schnell ging, das ist völlig unklar.
0

#4 Mitglied ist offline   Tiggz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 918
  • Beigetreten: 13. September 06
  • Reputation: 24
  • Geschlecht:unbekannt

geschrieben 07. August 2010 - 19:27

Beitrag anzeigenZitat (Internetkopfgeldjäger: 07.08.2010, 20:19)

Da darf man aber nicht vergessen das weder Secunia, noch Vupen die Windows Sicherheitslücke entdeckt haben.

Hab ich ja nicht behauptet.

Zitat

Man darf also mal wieder auf Exploits gespannt sein und darauf, wenn das beliebte Zeus Botnet & Co, oder der Polymorphe Virus Sality, oder andere, diese Lücke zu nutzen auch adaptieren, wie schon bei der beliebten Microsoft Windows LNK Sicherheitslücke.

Die Gefahr ist laut dem Entdecker Arkon und Secunia ziemlich gering. Ich wiederhole die Textpassage von heise:

...da ein Angreifer keine beliebigen Daten an die betroffene Funktion übergeben kann und er fast nichts über den Ort und Aufbau des Heaps wissen kann.

0

#5 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 07. August 2010 - 19:34

Warten wir es einfach mal ab, was sich da noch weiter entwickelt. Das mit der Microsoft Windows LNK Lücke hat ja auch Jahre gedauert, bis der öffentliche Druck auf Microsoft hinreichend war, dass die LNK Lücke angegangen wurde:
http://www.heise.de/security/news/foren/S-...-18865101/read/
0

#6 Mitglied ist offline   Tiggz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 918
  • Beigetreten: 13. September 06
  • Reputation: 24
  • Geschlecht:unbekannt

geschrieben 07. August 2010 - 20:00

Arkon:

It’s very hard to exploit it for code execution, on the edge of impossible. That’s why I felt safe about releasing it publicly.

http://www.ragestorm.net/blogs/?p=255&...=1#comment-2717

Jo, erst sorgt der gute Mann für Aufregung und dann rückt er damit heraus, daß die Lücke nur sehr schwer oder höchstwahrscheinlich gar nicht auszunutzen ist. Hauptsache er ist jetzt berühmt :unsure: .

Wie die Nachricht im Internet umgemodelt wird, sieht man hier:

Researchers have identified a kernel-level vulnerability in Windows that allows attackers to gain escalated privileges and may also allow them to remotely execute malicious code. All versions of the Microsoft OS are affected, including the heavily fortified Windows 7.

The buffer overflow, which was originally reported here, can be exploited to escalate privileges or crash vulnerable machines, IT research company Vupen said. The flaw may also allow attackers to execute arbitrary code with kernel privileges.


http://blogbook.stua...in.co.uk/?p=218

Da ist gar nicht mehr die Rede davon, daß die Lücke wahrscheinlich nicht auszunutzen ist, sondern es wird so dargestellt, als ob bereits ein Exploit besteht.

EDIT:

Dass sich die Sicherheitslücke zum Ausführen von Code eignet, bezweifelt deren Entdecker Gil Dabah alias Arkon in Reaktion auf die Security-Advisorys von Vulpen und Secunia. Es sei nicht trivial, Code auszuführen, auch da jedes vierte Byte, das kopiert, den Wert 4 habe. Arkon geht davon aus, dass es unmöglich ist, die Schwachstelle für einen Exploit zu nutzen, der Code ausführt. Daher habe er die Sicherheitslücke auch ohne Bedenken veröffentlicht. Verhindern lasse sich das Problem, indem der Zugriff auf die Zwischenablage oder das Ändern der Bildschirmauflösung deaktiviert wird.

http://www.golem.de/1008/77050.html

Dieser Beitrag wurde von Tiggz bearbeitet: 07. August 2010 - 20:15

0

#7 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 07. August 2010 - 20:21

Beitrag anzeigenZitat (Tiggz: 07.08.2010, 20:27)

fast nichts über den Ort und Aufbau des Heaps wissen kann

Dazu noch mal der Hinweis auf ROP, die Quelle dazu sogar aus dem gleichen heise Verlag:
http://www.heise.de/security/meldung/Neue-...aus-958806.html
und hier:
http://www.heise.de/security/artikel/Wahlm...ing-791354.html
Also Pufferüberlauf haben wir schon mit der Windows win32k.sys Lücke,
wenn das dann noch irgendjemand mit ROP kombiniert, könnte das Problem gelöst sein.
Dann ist die Bahn wieder mal frei für neue Windows Angriffe.
Hier gibt es noch ein Video eines Vortrags über ROP:
http://threatpost.com/en_us/blogs/practica...gramming-050510

Also ich persönlich bin schon ganz gespannt was da noch kommt. :unsure:

Dieser Beitrag wurde von Internetkopfgeldjäger bearbeitet: 07. August 2010 - 20:21

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0