Windows 8.1 mit schwerer Sicherheitslücke

Bei Windows 8.1 ist eine Sicherheitslücke in der Funktion ahcache.sys/AhcVerifyAdminContext aufgetreten, die als schwerwiegend zu sehen ist. Nach Einhaltung einer Frist haben die Leute von Google Security Research diese ernst zu nehmende Sicherheitslücke veröffentlicht. Microsoft wird wohl rasch reagieren müssen. Möglicherweise kommt ein dringendes Sicherheitsupdate, bevor es den ersten Patchday 2015 geben wird.

Es gibt den Systemaufruf NtApphelpCacheControl. Der befindet sich in der Funktion AhcVerifyAdminContext in der Systemdatei ahcache.sys. Mit dem wird es Kompatibilitätsdaten von Anwendungen möglich, dass sie für eine rasche Wiederverwendung zwischengespeichert werden, wenn neue Prozesse generiert werden. Einem Standardbenutzer ist die Möglichkeit gegeben, den Zwischenspeicher abzufragen, aber er kann keine neuen Einträge hinzufügen. Das ist alles in der Funktion geregelt.

Die Sicherheitslücke scheint wohl dergestalt sein, dass der Personalisationstoken des Aufrufers nicht korrekt überprüft wird und somit nicht feststeht, ob es sich um einen Administrator handelt. Im Normalfall wird zur Prüfung der Aufruf PsReferenceImpersonationToken genutzt und die Security ID des Benutzers im Token mit der Security ID im lokalen System überprüft, aber eben nicht, ob es ein Administrator ist. Und damit könnte ein Angreifer eben den Zwischenspeicher ausnutzen und neue Einträge generieren, um damit Schadsoftware aufzurufen. Und das wäre eine ernsthafte Bedrohung.

Ende September haben die Google Leute das Ganze wohl herausbekommen. Aber es gibt eine Vereinbarung zwischen Google und Microsoft, die da besagt, dass man nach 90 Tagen nach Mitteilung an Microsoft solche Informationen publizieren darf. Und das ist nun erfolgt. Zwar ist erst am 13. Januar Patchday für Sicherheitsupdates. Aber es ist stark davon auszugehen, dass für diese Lücke noch eher ein Patch zur Verfügung gestellt wird.

Um es klar zu sagen: Es ist weder bekannt, ob es sich ausschließlich um Windows 8.1 oder auch um andere Windows-Versionen handelt, noch weiß man derzeit, ob diese Lücke überhaupt ausgenutzt wird. Aber es ist wohl anzunehmen, dass Hersteller von Antivirenprogrammen ihre Datenbanken aktualisiert haben. Und deshalb ist es bis zur Schließung der Lücke eminent wichtig, die Sicherheitssoftware aktuell zu halten. Und aktualisieren Sie Windows am besten über die automatischen Updates.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert