Kaspersky-Technik hat nach Angaben der Sicherheitsspezialisten eine Zero-Day-Schwachstelle im Windows-Betriebssystem gefunden. Der darauf basierende Exploit ermöglichte es Angreifern, höhere Privilegien auf dem attackierten Gerät zu erlangen und Schutzmechanismen im Google-Chrome-Browser zu umgehen. Dies geschah offenbar so in der WizardOpium-Kampagne. Ein Patch ist bereits veröffentlicht.

Die neue Windows-Schwachstelle haben die Kaspersky-Forscher aufgrund eines anderen Zero-Day-Exploits gefunden. Bereits im vergangenem November hatten die Exploit-Prevention-Techniken, die in den meisten Produkten des Unternehmens integriert sind, einen Zero-Day-Exploit in Google Chrome gefunden. Dieser Exploit ermöglichte es den Angreifern, beliebigen Code auf dem Computer des Opfers ausführen. Im Rahmen weiterer Untersuchungen dieser Kampagne, die die Experten WizardOpium tauften, fanden sie nun den Exploit im Windows-Betriebssystem.

Der entdeckte Windows-Zero-Day-Exploit zur Rechteausweitung (Elevation of Privileges, EoP) mit der Kennung CVE-2019-1458 war in einem zuvor entdeckten Google Chrome Exploit integriert. Dadurch konnten höhere Rechte erlangt und die Process Sandbox von Chrome umgangen werden, die zum Schutz des Browsers und des Computers des Nutzers vor Angriffen dienen. Eine detailliertere Analyse des EoP-Exploits ergab, dass die missbrauchte Schwachstelle zum win32k.sys Driver gehört. Die Schwachstelle ließ sich in den aktuellen gepatchten Versionen von Windows 7 sowie in einigen Builds von Windows 10 ausnutzen. Die neuen Versionen von Windows 10 sind nicht betroffen.

„Diese Art von Angriff erfordert enorme Ressourcen“, kommentiert Anton Ivanov, Sicherheitsexperte bei Kaspersky. „Gleichzeitig bringt sie den Angreifern erhebliche Vorteile – daher nutzen sie sie gerne aus. Die Zahl der Zero-Days in freier Wildbahn nimmt weiter zu. Dies wird sich wahrscheinlich auch nicht ändern. Unternehmen müssen sich auf die neuesten verfügbaren Bedrohungsinformationen verlassen und über Schutztechnologien verfügen, mit denen unbekannte Bedrohungen wie Zero-Day-Exploits proaktiv entdeckt werden können.“ Kaspersky-Produkte erkennen diesen Exploit als Exploit.Win32.Generic.

Die Schwachstelle habe man an Microsoft gemeldet, und sie ist seit dem 10. Dezember 2019 behoben.

Weitere Informationen zur aktuellen Zero-Day-Schwachstelle sind verfügbar unter securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/.