2199835

Windows: Zero-Day-Lücke für 90.000 US-Dollar im Angebot

01.06.2016 | 16:24 Uhr |

Ein Hacker behauptet, eine bisher unbekannte Lücke in Windows entdeckt zu haben. Und verlangt dafür 90.000 US-Dollar.

Ein russischer Hacker will eine bisher unbekannte Sicherheitslücke in Windows entdeckt haben, die für Angriffe ausgenutzt werden könnte. Er bietet die Lücke auf dem Online-Schwarzmarkt für 90.000 US-Dollar an. Ursprünglich verlangte der Hacker 95.000 US-Dollar, verringerte aber nach kurzer Zeit wohl aus Mangel an Angeboten den verlangten Betrag.

Hunderte Millionen Nutzer wären von der Lücke betroffen, denn die Lücke, so der Hacker, steckt in allen Windows-Versionen. Angefangen von Windows 2000 bis hin zu Windows 10. Das berichten die Sicherheitsexperten von Trustwave.

Unklar ist, ob die Sicherheitslücke tatsächlich existiert. Laut der Beschreibung des Hackers soll die Lücke den Angreifern den vollständigen Zugriff auf Windows-Rechner erlauben. Entsprechend gefährlich wäre es, wenn das Wissen über die Lücke in die falschen Hände geraten würde. Konkret soll die Lücke in win32k.sys stecken.

Trustwave selbst weist darauf hin, dass schwer zu überprüfen sei, ob die Zero-Day-Lücke tatsächlich existiert. Der Hacker hat lediglich auf Youtube zwei Videos veröffentlicht, mit denen die Existenz der Lücke bewiesen werden soll. In dem ersten Video wird demonstriert, wie die Lücke unter Windows 10 ausgenutzt wird, um die vollständige Kontrolle über den angegriffenen Rechner zu erhalten. Im zweiten Video ist zu sehen, wie beim Exploit der Lücke Microsofts Enhanced Mitigation Experience Toolkit (EMET) ausgehebelt wird.

Vor einer Zero-Day-Lücke können sich Anwender nicht direkt schützen. Generell empfiehlt es sich aber, eine Sicherheitssoftware einzusetzen und diese ebenso wie jede andere Software und das Betriebssystem so aktuell wie möglich zu halten.

Microsoft kennt das Angebot des Hackers. Nicht bekannt ist, ob und wie Microsoft darauf reagieren wird. Gegenüber Krebsonsecurity.com verwies Microsofts Sicherheitsexperte Jeff Jones lediglich darauf, dass Microsoft die Entdecker von Zero-Day-Lücken entsprechend finanziell belohnt, wenn sie diese Lücken direkt bei Microsoft melden. Für eine Lücke, die EMET umgeht, könnte der Entdecker eine Belohnung zwischen 50.000 und 100.000 US-Dollar erhalten. Dazu müssen sich die Entdecker lediglich beim Microsoft Security Response Center melden.

Lesetipp: Die 10 besten Sicherheitstipps für Windows-10-Nutzer

0 Kommentare zu diesem Artikel
2199835