Im Mai 2021 kündigte Microsoft die Gründung eines neuen Open-Source-Projekts namens ebpf-for-windows an. Das Ziel dieses Projekts ist die einfache Integration der eBPF-Technologie in Windows 10 und Windows Server 2016 und höher. Da Microsoft sich zu einer breiteren Einführung dieser Technologie verpflichtet und darauf hinarbeitet, ergibt sich daraus auch eine für Cyber-Kriminelle interessante Angriffsfläche. Trellix hat diese nun näher untersucht.
Erste kritische Befunde
Die Windows-Version von eBPF ist brandneu und kann den bestehenden Linux eBPF-Sandbox-Code nicht verwenden. Daher konzentrierte sich das Trellix-Team auf die Untersuchung der Komponenten, die auf Windows ausgerichtet oder neu im eBPF-Ökosystem sind. Zudem wollte das Team wissen, ob die Behauptung, dass eBPF unter Windows die „Sicherheit“ der Codeausführung im Kernel garantieren kann, auch wirklich der Realität standhält.
Während der Überprüfung dieses Frameworks entdeckte das Trellix-Team eine Heap-basierte Pufferüberlauf-Schwachstelle, die es Hackern ermöglicht, beliebige Codes mit Administrator-Rechten auszuführen. Das eBPF für Windows Projekt beinhaltet eine Benutzerbibliothek namens EbpfApi. Diese Bibliothek ist dafür verantwortlich, eBPF-Programme aus ELF-Objektdateien zu laden und sie an den eBPF-Dienst zu senden. EbpfApi wird von dem mitgelieferten BPFTool und dem Netsh-Plugin verwendet, um Benutzern mit Administrator-Rechten das Laden von Programmen in den laufenden Kernel zu ermöglichen. Wie oben beschrieben, wird eBPF als eine vertrauenswürdige Umgebung mit Sandbox betrachtet und es wird erwartet, dass diese Programme verifiziert und sicher ablaufen, ohne die Ausführung von beliebigem Code auf dem System zu ermöglichen. Diese Schwachstelle durchbricht diese Sicherheitsgrenze und kann die Ausführung von beliebigem Code mit Administrator-Rechten durch Beschädigung des Heap-Speichers ermöglichen. Laut den Berechnungen von Trellix würde diese Sicherheitslücke einen CVSS 3.0-Wert von 7,8 rechtfertigen.
Trellix hat dieses Problem bereits an Microsoft gemeldet, das Unternehmen hat umgehend einen Fix für das Open-Source-Projekt veröffentlicht.
Mehr Informationen dazu finden Sie hier.
Fachartikel
Strategien für eine fortgeschrittene digitale Hygiene
Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen
Wie man RMM-Software mit einer Firewall absichert
Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024
Konvergiert vs. Einheitlich: Was ist der Unterschied?
Studien
Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen
Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle
Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart
Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht
Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen
Whitepaper
Unter4Ohren
Datenklassifizierung: Sicherheit, Konformität und Kontrolle
Die Rolle der KI in der IT-Sicherheit
CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft
WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand
