
Zusammenfassung
-
Eine hochgradige Windows-Kernel-Race-Bedingung kann dazu führen, dass lokale Benutzer mit geringen Berechtigungen volle Administratorrechte erhalten.
-
Exploit erfordert lokalen Zugriff (kompromittiertes Konto oder Malware); nicht im Entferntesten ausnutzbar.
-
Microsoft hat Patches veröffentlicht – aktualisieren Sie Windows sofort, um eine Rechteausweitung zu verhindern.
Es ist immer schlimm, wenn ein neues Sicherheitsproblem auftritt, und noch schlimmer ist es, wenn es mehrere Builds in mehreren Versionen eines Betriebssystems betrifft. Viele Windows-Benutzer sind von einer brandneuen Sicherheitslücke betroffen, und diese sieht ziemlich schlimm aus.
Das Indian Computer Emergency Response Team (CERT-In), die nationale Knotenpunktbehörde in Indien für die Reaktion auf Computersicherheitsvorfälle, hat eine detaillierte Warnung zu einem Fehler veröffentlicht, der ein breites Spektrum von Windows-Versionen betrifft, einschließlich der neuesten Builds von Windows 11 und Windows Server. Die Behörde hat das Problem als „hohe Schwere“ eingestuft, und soweit wir sehen können, ist es ziemlich schlimm.
Laut den von CERT-In bereitgestellten technischen Details liegt der Fehler auf Kernel-Ebene und wird durch eine „Race Condition“ verursacht. Falls Sie nicht wissen, was das ist: Eine Race Condition tritt auf, wenn ein System versucht, zwei oder mehr Vorgänge gleichzeitig auszuführen. Aufgrund der Art des Geräts oder der Software müssen die Vorgänge jedoch in der richtigen Reihenfolge ausgeführt werden, um korrekt ausgeführt zu werden. Wenn ein System diese gleichzeitigen Anforderungen zur gemeinsamen Nutzung von Ressourcen nicht bewältigen kann, entsteht eine vorübergehende Lücke in der Sicherheitslogik. Der Windows-Kernel schafft es scheinbar nicht, Prozesse ordnungsgemäß zu synchronisieren. Und wenn ein Angreifer diese Verwirrung manipulieren kann, kann er Sicherheitsprotokolle umgehen, die normalerweise Standardbenutzeraktivitäten von kritischen Systemfunktionen trennen.
Um dies auszunutzen, benötigt ein Bedrohungsakteur einen Low-Level-Zugriff auf das Zielsystem, sodass dies nicht aus der Ferne ausgenutzt werden kann. Dies könnte durch ein kompromittiertes Gastkonto, eine Standardanmeldung eines Mitarbeiters oder sogar durch Malware erreicht werden, die den Computer bereits mit Berechtigungen auf niedriger Ebene infiziert hat. Sobald der Angreifer jedoch die Race Condition im Kernel auslöst, kann er seine Berechtigungen von einem eingeschränkten Benutzer auf einen vollständigen Administrator erhöhen. Von dort aus können sie beispielsweise kritische Daten manipulieren oder löschen, persistente Malware, Ransomware oder Keylogger installieren oder neue Administratorkonten erstellen, um den Zugriff aufrechtzuerhalten.
Microsoft hat die Sicherheitslücke erkannt und erfolgreich Sicherheitspatches bereitgestellt, um den Fehler zu beheben. Stellen Sie daher sicher, dass Ihr PC vollständig aktualisiert ist.
Quelle: Techlusive
*️⃣ Quelllink: