118904

Neues Loch im Windows-Kern

07.11.2006 | 15:05 Uhr |

Der Monat der Kernel-Bugs bringt seinen ersten Windows-Exploit hervor. Dieser eignet sich allerdings nicht zum direkten Einschleusen von Code über das Internet, jedoch für einen lokalen DoS-Angriff.

Der aus dem Umfeld des Metasploit-Projekts eigens entstandene Blog " Kernel Fun " präsentiert im November den "Monat der Kernel-Bugs" ( wir berichteten ). Jüngster Beitrag ist ein Fehler im Kern von Windows, der sich zumindest eignet, um den berüchtigten Bluescreen hevor zu rufen. Möglicherweise kann auch beliebiger Code ausgeführt werden, wobei ein angemeldeter Bentuzer höhere Rechte erlangen könnte.

Den Fehler hat Cesar Cerrudo von Argeniss entdeckt und am 22.10.2006 an Microsoft gemeldet. Das Problem steckt in der Behandlung von Speicherbereichen, die für die Verarbeitung von grafischen Informationen, etwa die Bedienoberfläche von Windows, reserviert sind. Die Programmierschnittstelle wird als GDI (Graphic Device Interface) bezeichnet und ist schon früher mehrfach für Angriffe ausgenutzt worden.

Die dafür verwendeten Datenstrukturen werden in einem gemeinsam genutzten Speicherbereich angelegt, der eigentlich für Schreibzugriffe gesperrt ist. Nach Angabe von Cesar Cerrudo kann jedoch jeder laufende Prozess diesen Speicherbereich umwidmen und für Schreibzugriffe freigeben. Geschieht dies, können wichtige Teile der Datenstrukturen überschrieben werden und Windows stürzt ab.

Im Blog Kernel Fun wird Beispiel-Code mitgeliefert, der in dieser Form zum "Bluescreen of Death" führt, es wird jedoch angegeben, dass eine erfolgreiche Ausnutzung der Schwachstelle auch zur Ausführung von beliebigem Code mit Systemrechten genutzt könnte. Der Angriff muss jedoch durch ein lokal ausgeführtes Programm erfolgen. Eine Ausnutzng über das Internet setzt voraus, das zunächst eine weitere Schwachstelle genutzt wird, um den Angriff-Code einzuschleusen und auszuführen.

0 Kommentare zu diesem Artikel
118904