Der bei Google angestellte Sicherheitsexperte Tavis Ormandy hat eine Sicherheitslücke in Windows entdeckt, durch die sich alle dem System bekannten Nutzer höchstmögliche Rechte verschaffen können. Statt die Lücke Microsoft zu melden, hat er die Details im Mai auf der Security-Mailingsliste Full Disclosure veröffentlicht – ein passender Exploit folgte jetzt.
Tavis Ormandy ist in der Security-Szene kein Unbekannter. Der Sicherheitsexperte hat im Laufe der vergangenen Jahre etliche Schwachstellen entdeckt. Schon einige Male hat er den kürzesten Weg gewählt, um die Informationen über die von ihm entdeckten Lücken zu teilen: Full Disclosure, die schnellstmögliche Veröffentlichung, ohne zuvor den Hersteller der verwundbaren Software zu informieren.
Auch Mitte Mai hat sich Ormandy wieder für eine Full Disclosure auf der gleichnamigen Mailingliste entschieden. Nachdem er einen Bug in der Funktion EPATHOBJ::pprFlattenRec des Windows-Kernels entdeckt hatte, schrieb er in seiner Mail an die Liste: "Ich habe nicht viel Freizeit, um an blödem Microsoft-Code zu arbeiten" und bat um Ideen, wie man den Bug erfolgreich ausnutzen kann.
From zero to hero: Der Exploit benötigte zwar mehrere Anläufe, hat dem Gast-Nutzer auf unserem Testsystem aber schließlich doch Systemrechte verschafft. Tatsächlich gelang es Ormandy anschließend unterstützt von "progmboy" einen passenden Privilege-Escalation-Exploit zu entwickeln, welcher freilich wiederum mit der Mailingliste geteilt wurde. heise Security konnte das Problem anhand des Exploits nachvollziehen. Wird die Datei gestartet, öffnet sich eine Kommandozeile, über die beliebige Befehle mit höchstmöglichen Rechten (SYSTEM) ausgeführt werden können – ungeachtet dessen, welche man eigentlich besitzt. Für die Rechteausweitung reicht sogar ein Gast-Konto.
Microsoft dürfte wenig erfreut darüber sein, dass der Sicherheitsexperte den Exploit ohne Rücksprache zu halten ins Netz gestellt hat. Für eine ähnliche Aktion haben die Redmonder Ormandy vor rund drei Jahren bereits einen öffentlichen Rüffel erteilt. Mit seiner Full Disclosure hat er Microsoft unter Zugzwang gesetzt. Das Unternehmen muss die Lücke jetzt schnellstmöglich abdichten, schließlich haben jetzt auch böswillige Gesellen Zugriff auf den Angriffscode. Ein Trojaner könnte den Exploit etwa dazu missbrauchen, um einen Virenscanner unbemerkt ohne UAC-Abfrage abzuschießen oder ein Rootkit tief im System zu verankern.
Gegenüber heise Security erklärte Microsoft, dass das Unternehmen das Problem bereits untersuche und "angemessene Maßnahmen treffen" werde, um seine Kunden zu schützen. Wann die Lücke geschlossen wird und wie sich der Nutzer vor der Rechteausweitung schützen kann, konnte das Unternehmen noch nicht beantworten.
Ormandys Arbeitsgeber Google setzt sich eigentlich für die verantwortungsvolle Veröffentlichung von Schwachstellen (Responsible Disclosure) ein. Dabei setzt der Sicherheitsforscher dem Anbieter der verwundbaren Software eine Schonfrist von etwa 60 Tagen, ehe er seinen Fund veröffentlicht. Ist Gefahr im Verzug weil die Lücke bereits aktiv von Cyber-Ganoven ausgenutzt wird, soll diese Frist laut einer Forderung von Google auf eine Woche verkürzt werden.