Windows-Zero-Day auf GitHub veröffentlicht: „FunnyApp.exe“ verschafft Angreifern SYSTEM-Rechte
Zero-Day Exploit öffentlich auf GitHub veröffentlicht
Ein bislang ungepatchter Windows-Exploit sorgt derzeit für große Aufmerksamkeit in der Sicherheitscommunity. Ein anonymer Sicherheitsforscher hat auf GitHub einen funktionierenden Proof-of-Concept veröffentlicht, der unter bestimmten Umständen SYSTEM-Rechte auf Windows-Systemen erlangen kann.
Der Exploit wird derzeit unter dem Namen „BlueHammer“ verbreitet. Die Demo erfolgt über eine Datei namens FunnyApp.exe. Wird diese ausgeführt, kann ein Benutzer mit niedrigen Rechten administrative Systemrechte erhalten.
Schwachstelle im Windows Defender
Laut Sicherheitsforschern nutzt der Exploit eine klassische TOCTOU-Race-Condition (Time-of-Check-to-Time-of-Use) im Signatur-Update-Mechanismus von Windows Defender.
Der Angriff funktioniert, weil der Defender-Dienst mit SYSTEM-Rechten läuft und während eines Updates auf Dateipfade zugreift, die ein lokaler Benutzer mit Hilfe von Junctions oder symbolischen Links manipulieren kann.
Dadurch lässt sich der Zugriff während der Ausführung umleiten – ein Angreifer kann so Code mit höchsten Systemrechten ausführen lassen.
Exploit bereits bestätigt
Mehrere Sicherheitsforscher haben bestätigt, dass der veröffentlichte Code tatsächlich funktioniert. Einige Tests zeigen, dass der Exploit unter Desktop-Windows SYSTEM-Rechte erreichen kann.
Auf Server-Systemen führt der Angriff teilweise nur zu erhöhten Administratorrechten, nicht direkt zu SYSTEM-Privilegien.
Das GitHub-Repository verbreitet sich schnell: Innerhalb kurzer Zeit erhielt es bereits über 100 Forks und mehrere hundert Sterne. Damit steigt das Risiko, dass Cyberkriminelle den Code anpassen und in Malware integrieren.
Leaker wirft Microsoft Versagen vor
Der anonyme Entwickler mit dem Alias „deadeclipse666“ erklärte öffentlich, dass er die Schwachstelle aus Frust veröffentlicht habe.
In mehreren Blog- und Social-Media-Posts behauptet der Forscher, Microsoft habe ein früheres Abkommen verletzt und Sicherheitsmeldungen nicht korrekt behandelt.
Der Entwickler deutete an, zuvor im Rahmen eines Responsible-Disclosure-Prozesses mit Microsoft gearbeitet zu haben.
Microsoft reagiert
Microsoft erklärte, man untersuche gemeldete Sicherheitsprobleme grundsätzlich im Rahmen des Microsoft Security Response Center (MSRC) und arbeite daran, betroffene Systeme so schnell wie möglich zu schützen.
Ein offizieller Sicherheitspatch für die aktuell veröffentlichte Schwachstelle steht zum Zeitpunkt der Veröffentlichung jedoch noch aus.
Warum diese Veröffentlichung gefährlich ist
Zero-Day-Exploits werden normalerweise zunächst vertraulich an Hersteller gemeldet, damit ein Patch entwickelt werden kann. Wird ein Exploit jedoch öffentlich veröffentlicht, können auch Angreifer sofort damit arbeiten.
Da der Code öffentlich verfügbar ist, könnten Kriminelle leicht eigene Varianten kompilieren und so klassische Virenscanner umgehen.
Was Windows-Nutzer jetzt tun sollten
Sicherheitsforscher empfehlen derzeit vor allem:
- Windows-Updates regelmäßig installieren
- unbekannte Programme niemals ausführen
- besonders vorsichtig mit lokalen Downloads und Tools sein
- Endpoint-Security-Software aktuell halten
Bis Microsoft einen Patch veröffentlicht, bleibt der Exploit theoretisch auf vielen Windows-Systemen nutzbar.
Die Veröffentlichung zeigt erneut, wie gefährlich Konflikte zwischen Sicherheitsforschern und Herstellern werden können – besonders wenn ungepatchte Schwachstellen öffentlich ins Internet gelangen.