Plattformen, Fachartikel

Andere Sichtweise zur ungepatchten “Denial of Service”-Sicherheitslücke in Microsoft Windows

Andere Sichtweise zur ungepatchten “Denial of Service”-Sicherheitslücke in Microsoft Windows

Kasper Lindgaard, Direktor Secunia Research von Flexera Software

Am 7. März 2017 meldete Secunia Research von Flexera Software an Microsoft eine Sicherheitslücke, welche über eine Schriftdatei ausgenutzt werden kann. Die „Denial of Service“ (DoS)-Sicherheitslücke wurde von IT-Sicherheitsexperten Behzad Najjarpour Jabbari von Secunia Research aufgedeckt. Während der Bearbeitung eines Typ 1 Font [1]in der „Adobe Type Manager Font Driver Library“ (AMTFD.dll) kann der Stack aufgebraucht werden und dies führt dann zu einem Absturz des Windows-Betriebssystems.

Angriffe, die Sicherheitslücken in der Verarbeitung von Schriftdateien im Rahmen eines Microsoft Windows-Betriebssystems ausnutzen, variieren je nach Schrift-Typ. Beim Internet Explorer können Sicherheitslücken in bestimmten Schrift-Typen beispielsweise ausgenutzt werden, wenn der Anwender eine bösartige Seite im Internet besucht. Die von Secunia Research entdeckte Sicherheitslücke wird jedoch beim Ansehen von Inhalten eines Verzeichnisses im Dateisystem oder auf einer Netzwerkfreigabe mittels des Explorers ausgelöst, wobei das Verzeichnis eine speziell präparierte Schriftdatei enthält.

 

Secunia Research meldete die Sicherheistlücke zusammen mit einer “Proof of Concept” (PoC) Schriftdatei am 7. März 2017 an Microsoft, um die Veröffentlichung und die Schließung der Sicherheitslücke mit dem Anbieter abzustimmen.

 

Daraufhin unterrichtete Microsoft am 10. April 2017 Secunia Research, dass „es sich um einen lokal authentifizierten DoS handelt, der nicht über das Netzwerk („remote“) ausgenutzt werden kann. Damit erfüllt er nicht die Voraussetzung für ein Servicing Down Level.“

 

Secunia Research stimmt mit dieser Auffassung nicht überein. Ein lokal authentifiziertes Benutzerkonto für einen Angreifer ist nach Ansicht von Secunia Research nicht zwingend notwendig, um Angriffe über eine speziell präparierte Typ 1 Schriftdatei zu starten. Auch bei der Ansicht eines Verzeichnisses auf einer Netzwerkfreigabe beispielsweise kann die Fontdatei dieselben negativen Folgen nach sich ziehen. Um die Sicherheitslücke ausnutzen zu können, muss zwar zunächst eine Ansicht des Verzeichnisses mit der entsprechenden Schriftdatei durch einen regulären Benutzer erfolgen, gerade dies gehört jedoch zu einer der grundlegendsten Aktionen, die ein Nutzer auf einem Windowssystem ausführt und stellt für potentielle Angreifer kein außergewöhnliches Hindernis dar.

 

Eine solche Schriftdatei kann auf unterschiedlichen Wegen in ein Unternehmen gelangen – sei es vom Internet heruntergeladen, abgespeichert aus einer Email eines Mitarbeiters, der Zugriff auf ein Verzeichnis auf einem freigegeben Netzwerk besitzt, durch einen automatischen Bearbeitungsprozess bei der Extrahierung von Archiven oder ähnlichem. Ein Angreifer braucht daher keinen direkten Zugriff auf ein freigegebenes Netzlaufwerk; er muss nicht einmal Teil des gleichen Unternehmens wie der Nutzer sein. Ungeachtet dessen wird der Angreifer in jedem dieser Szenarien potenziell als „remote“, und damit nicht lokal angesehen.

<< Erste < Vorherige 1 2 Nächste > Letzte >>