Im Mai 2021 kündigte Microsoft die Gründung eines neuen Open-Source-Projekts namens ebpf-for-windows an. Das Ziel dieses Projekts ist die einfache Integration der eBPF-Technologie in Windows 10 und Windows Server 2016 und höher. Da Microsoft sich zu einer breiteren Einführung dieser Technologie verpflichtet und darauf hinarbeitet, ergibt sich daraus auch eine für Cyber-Kriminelle interessante Angriffsfläche. Trellix hat diese nun näher untersucht.
Erste kritische Befunde
Die Windows-Version von eBPF ist brandneu und kann den bestehenden Linux eBPF-Sandbox-Code nicht verwenden. Daher konzentrierte sich das Trellix-Team auf die Untersuchung der Komponenten, die auf Windows ausgerichtet oder neu im eBPF-Ökosystem sind. Zudem wollte das Team wissen, ob die Behauptung, dass eBPF unter Windows die „Sicherheit“ der Codeausführung im Kernel garantieren kann, auch wirklich der Realität standhält.
Während der Überprüfung dieses Frameworks entdeckte das Trellix-Team eine Heap-basierte Pufferüberlauf-Schwachstelle, die es Hackern ermöglicht, beliebige Codes mit Administrator-Rechten auszuführen. Das eBPF für Windows Projekt beinhaltet eine Benutzerbibliothek namens EbpfApi. Diese Bibliothek ist dafür verantwortlich, eBPF-Programme aus ELF-Objektdateien zu laden und sie an den eBPF-Dienst zu senden. EbpfApi wird von dem mitgelieferten BPFTool und dem Netsh-Plugin verwendet, um Benutzern mit Administrator-Rechten das Laden von Programmen in den laufenden Kernel zu ermöglichen. Wie oben beschrieben, wird eBPF als eine vertrauenswürdige Umgebung mit Sandbox betrachtet und es wird erwartet, dass diese Programme verifiziert und sicher ablaufen, ohne die Ausführung von beliebigem Code auf dem System zu ermöglichen. Diese Schwachstelle durchbricht diese Sicherheitsgrenze und kann die Ausführung von beliebigem Code mit Administrator-Rechten durch Beschädigung des Heap-Speichers ermöglichen. Laut den Berechnungen von Trellix würde diese Sicherheitslücke einen CVSS 3.0-Wert von 7,8 rechtfertigen.
Trellix hat dieses Problem bereits an Microsoft gemeldet, das Unternehmen hat umgehend einen Fix für das Open-Source-Projekt veröffentlicht.
Mehr Informationen dazu finden Sie hier.
Fachartikel
Studien
Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus
IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper
WatchGuard Internet Security Report: Enormer Anstieg von Endpoint-Ransomware, dafür weniger Netzwerk-Malware
5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance
Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Unter4Ohren
Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
