30. August 2022
Im Mai 2021 kündigte Microsoft die Gründung eines neuen Open-Source-Projekts namens ebpf-for-windows an. Das Ziel dieses Projekts ist die einfache Integration der eBPF-Technologie in Windows 10 und Windows Server 2016 und höher. Da Microsoft sich zu einer breiteren Einführung dieser Technologie verpflichtet und darauf hinarbeitet, ergibt sich daraus auch eine für Cyber-Kriminelle interessante Angriffsfläche. Trellix hat diese nun näher untersucht.
Erste kritische Befunde
Die Windows-Version von eBPF ist brandneu und kann den bestehenden Linux eBPF-Sandbox-Code nicht verwenden. Daher konzentrierte sich das Trellix-Team auf die Untersuchung der Komponenten, die auf Windows ausgerichtet oder neu im eBPF-Ökosystem sind. Zudem wollte das Team wissen, ob die Behauptung, dass eBPF unter Windows die „Sicherheit“ der Codeausführung im Kernel garantieren kann, auch wirklich der Realität standhält.
Während der Überprüfung dieses Frameworks entdeckte das Trellix-Team eine Heap-basierte Pufferüberlauf-Schwachstelle, die es Hackern ermöglicht, beliebige Codes mit Administrator-Rechten auszuführen. Das eBPF für Windows Projekt beinhaltet eine Benutzerbibliothek namens EbpfApi. Diese Bibliothek ist dafür verantwortlich, eBPF-Programme aus ELF-Objektdateien zu laden und sie an den eBPF-Dienst zu senden. EbpfApi wird von dem mitgelieferten BPFTool und dem Netsh-Plugin verwendet, um Benutzern mit Administrator-Rechten das Laden von Programmen in den laufenden Kernel zu ermöglichen. Wie oben beschrieben, wird eBPF als eine vertrauenswürdige Umgebung mit Sandbox betrachtet und es wird erwartet, dass diese Programme verifiziert und sicher ablaufen, ohne die Ausführung von beliebigem Code auf dem System zu ermöglichen. Diese Schwachstelle durchbricht diese Sicherheitsgrenze und kann die Ausführung von beliebigem Code mit Administrator-Rechten durch Beschädigung des Heap-Speichers ermöglichen. Laut den Berechnungen von Trellix würde diese Sicherheitslücke einen CVSS 3.0-Wert von 7,8 rechtfertigen.
Trellix hat dieses Problem bereits an Microsoft gemeldet, das Unternehmen hat umgehend einen Fix für das Open-Source-Projekt veröffentlicht.
Mehr Informationen dazu finden Sie hier.
Fachartikel
Januar-Patch sorgt für Outlook-Blockaden bei Cloud-Speichern
PNB MetLife: Betrüger missbrauchen Versicherungsmarke für UPI-Zahlungsbetrug
Wenn Angreifer selbst zum Ziel werden: Wie Forscher eine Infostealer-Infrastruktur kompromittierten
Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt
WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen
Studien
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Whitepaper
ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI
Allianz Risk Barometer 2026: Cyberrisiken führen das Ranking an, KI rückt auf Platz zwei vor
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
NIS2-Richtlinie im Gesundheitswesen: Praxisleitfaden für die Geschäftsführung
Datenschutzkonformer KI-Einsatz in Bundesbehörden: Neue Handreichung gibt Orientierung
Hamsterrad-Rebell
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
