Im Mai 2021 kündigte Microsoft die Gründung eines neuen Open-Source-Projekts namens ebpf-for-windows an. Das Ziel dieses Projekts ist die einfache Integration der eBPF-Technologie in Windows 10 und Windows Server 2016 und höher. Da Microsoft sich zu einer breiteren Einführung dieser Technologie verpflichtet und darauf hinarbeitet, ergibt sich daraus auch eine für Cyber-Kriminelle interessante Angriffsfläche. Trellix hat diese nun näher untersucht.
Erste kritische Befunde
Die Windows-Version von eBPF ist brandneu und kann den bestehenden Linux eBPF-Sandbox-Code nicht verwenden. Daher konzentrierte sich das Trellix-Team auf die Untersuchung der Komponenten, die auf Windows ausgerichtet oder neu im eBPF-Ökosystem sind. Zudem wollte das Team wissen, ob die Behauptung, dass eBPF unter Windows die „Sicherheit“ der Codeausführung im Kernel garantieren kann, auch wirklich der Realität standhält.
Während der Überprüfung dieses Frameworks entdeckte das Trellix-Team eine Heap-basierte Pufferüberlauf-Schwachstelle, die es Hackern ermöglicht, beliebige Codes mit Administrator-Rechten auszuführen. Das eBPF für Windows Projekt beinhaltet eine Benutzerbibliothek namens EbpfApi. Diese Bibliothek ist dafür verantwortlich, eBPF-Programme aus ELF-Objektdateien zu laden und sie an den eBPF-Dienst zu senden. EbpfApi wird von dem mitgelieferten BPFTool und dem Netsh-Plugin verwendet, um Benutzern mit Administrator-Rechten das Laden von Programmen in den laufenden Kernel zu ermöglichen. Wie oben beschrieben, wird eBPF als eine vertrauenswürdige Umgebung mit Sandbox betrachtet und es wird erwartet, dass diese Programme verifiziert und sicher ablaufen, ohne die Ausführung von beliebigem Code auf dem System zu ermöglichen. Diese Schwachstelle durchbricht diese Sicherheitsgrenze und kann die Ausführung von beliebigem Code mit Administrator-Rechten durch Beschädigung des Heap-Speichers ermöglichen. Laut den Berechnungen von Trellix würde diese Sicherheitslücke einen CVSS 3.0-Wert von 7,8 rechtfertigen.
Trellix hat dieses Problem bereits an Microsoft gemeldet, das Unternehmen hat umgehend einen Fix für das Open-Source-Projekt veröffentlicht.
Mehr Informationen dazu finden Sie hier.
Fachartikel
Cloudflare enthüllt ein komplexes KI-System zur Abwehr automatisierter Angriffe
Vorsicht vor der Absicht-Ökonomie: Sammlung und Kommerzialisierung von Absichten über große Sprachmodelle
Sicherung von SAP BTP – Die Grundlagen: Stärkung des Unternehmens ohne Einbußen bei der Sicherheit
Ghost Ransomware: Diese Sofortmaßnahmen sind nötig
Sichere und schnelle Identitätsprüfung: So gelingt effizientes Onboarding
Studien
Digitaler Verbraucherschutz: BSI-Jahresrückblick 2024
Keyfactor-Studie: 18 Prozent aller Online-Zertifikate bergen Sicherheitsrisiken – Unternehmen müssen handeln
Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen
Zunehmende Angriffskomplexität
Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich
Whitepaper
Adversarial Machine Learning: Eine Klassifizierung und Terminologie von Angriffen und Gegenmaßnahmen
HP warnt: „Ich bin kein Roboter“ CAPTCHAs können Malware verbreiten
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten – eine Herausforderung für die Unternehmenssicherheit
eBook: Cybersicherheit für SAP
