30. August 2022
Im Mai 2021 kündigte Microsoft die Gründung eines neuen Open-Source-Projekts namens ebpf-for-windows an. Das Ziel dieses Projekts ist die einfache Integration der eBPF-Technologie in Windows 10 und Windows Server 2016 und höher. Da Microsoft sich zu einer breiteren Einführung dieser Technologie verpflichtet und darauf hinarbeitet, ergibt sich daraus auch eine für Cyber-Kriminelle interessante Angriffsfläche. Trellix hat diese nun näher untersucht.
Erste kritische Befunde
Die Windows-Version von eBPF ist brandneu und kann den bestehenden Linux eBPF-Sandbox-Code nicht verwenden. Daher konzentrierte sich das Trellix-Team auf die Untersuchung der Komponenten, die auf Windows ausgerichtet oder neu im eBPF-Ökosystem sind. Zudem wollte das Team wissen, ob die Behauptung, dass eBPF unter Windows die „Sicherheit“ der Codeausführung im Kernel garantieren kann, auch wirklich der Realität standhält.
Während der Überprüfung dieses Frameworks entdeckte das Trellix-Team eine Heap-basierte Pufferüberlauf-Schwachstelle, die es Hackern ermöglicht, beliebige Codes mit Administrator-Rechten auszuführen. Das eBPF für Windows Projekt beinhaltet eine Benutzerbibliothek namens EbpfApi. Diese Bibliothek ist dafür verantwortlich, eBPF-Programme aus ELF-Objektdateien zu laden und sie an den eBPF-Dienst zu senden. EbpfApi wird von dem mitgelieferten BPFTool und dem Netsh-Plugin verwendet, um Benutzern mit Administrator-Rechten das Laden von Programmen in den laufenden Kernel zu ermöglichen. Wie oben beschrieben, wird eBPF als eine vertrauenswürdige Umgebung mit Sandbox betrachtet und es wird erwartet, dass diese Programme verifiziert und sicher ablaufen, ohne die Ausführung von beliebigem Code auf dem System zu ermöglichen. Diese Schwachstelle durchbricht diese Sicherheitsgrenze und kann die Ausführung von beliebigem Code mit Administrator-Rechten durch Beschädigung des Heap-Speichers ermöglichen. Laut den Berechnungen von Trellix würde diese Sicherheitslücke einen CVSS 3.0-Wert von 7,8 rechtfertigen.
Trellix hat dieses Problem bereits an Microsoft gemeldet, das Unternehmen hat umgehend einen Fix für das Open-Source-Projekt veröffentlicht.
Mehr Informationen dazu finden Sie hier.
Fachartikel
SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen
Nordkoreanische APT-Gruppe missbraucht Google Find Hub für Fernlösch-Angriffe auf Android-Geräte
DNS-Ausfallsicherheit entscheidet über die Unternehmenskontinuität
Leitfaden für CISOs: Schutz vor Identitätsdiebstahl in sozialen Medien
Das Chaos der SIEM-Konsolidierung beweist: Es gibt keine Einheitslösung
Studien
Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026
Zunahme KI-gestützter Cyberbedrohungen im Fertigungssektor
KnowBe4-Studie: Personalisierte Phishing-E-Mails setzen auf die Verwendung von Firmennamen
Neue Studie: Mehrheit der US-Großunternehmen meldet KI-Risiken
Studie 2025 Device Security Threat Report: Vernetzte Geräte stellen massive Sicherheitsrisiken dar
Whitepaper
Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“
Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug
Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben
Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen
Verizon Business DBIR 2025: So können Gesundheitseinrichtungen Cyberangriffen begegnen
Hamsterrad-Rebell
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt
IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern
Von Palo Alto nach Paderborn: Wie eine Initiative US-Cyberfachkräfte für Deutschland gewinnen will
