[Technik] Googles Project Zero veroeffentlicht Details zu ungepatcher Windows Lücke

Im Zuge des Project Zero hat sich Google vorgenommen eine aktivere Rolle bei der Suche und Veroeffentlichung von Schwachstellen ein zu nehmen und beschraenkt sich dabei nun nicht mehr ausschliesslich auf eigene Softwareprodukte.

Bereits am 30. September 2014 wurde vom Teammitglied Forshaw ein Eintrag inklusive Proof of Concept Anwendung fuer Windows 8.1 zum gefundenen Privilege Elevation Bug erstellt. Der Fehler in der Funktion, AhcVerifyAdminContext, die dem Anschein nach fuer interne Zwecke gedacht ist und in Microsofts offizieller Dokumentation nicht aufscheint, kann von einem Angreifer, der bereits ueber einen lokalen Benutzeraccount verfuegt, verwendet werden um Anwendungen mit Administratioins-Rechten auszufuehren. Das bedeutet, dass eine manipulierte Anwendung ohne Wissen des Benutzers Aenderungen am System vornehmen kann. Laut ZDNET wurden bei eigenen Tests infizierte Executables von Virenscannern bereits als Gefahr erkannt.

Microsoft haette nach der Erstellung des Bugreports in Googles Project Zero 90 Tage Zeit gehabt um einen Patch zu liefern, bevor der private Eintrag am 29.12.2014 automatisch veroeffentlicht wurde.

In sozialen Netzwerken wurde Google nun kritisiert, dass leichtfertig mit den Fehlermeldungen umgegangen worden waere und man schwerwiegende Probleme nicht automatisch veroeffentlichen duerfte. Befuerworter entgegnen dem, dass 3 Monate haetten ausreichen muessen um einen Patch fuer das Problem zu liefern und es notwendig waere Hersteller zum schnellen Handeln zu zwingen, bevor Dritte die Vulnerability entdecken und beginnen diese zu exploiten.
Ein vergleichbares Projekt von HP, TippingPoint's Zero Day Initiative, gewaehrt Unternehmen eine Deadline von 4 Monaten bevor Schwachstellen veroeffentlicht werden.

Quellen:

Google Security Research - Issue 118
ZDNET Artikel
Artikel im Standard

 

[thom53281]

Ach, das ist ja noch gar nichts. Eine Lücke im IE liegt ja auch schonmal ein halbes Jahr rum. Nichts neues bei Microsoft. Traurig...


Grüße
Thomas

 

[Shinigami]

Woran liegt das denn bei Microsoft? Sind die schlicht überfordert oder ist die Interesse am Schließen solcher Lücken zu gering?

 

[mathmos]

In sozialen Netzwerken wurde Google nun kritisiert, dass leichtfertig mit den Fehlermeldungen umgegangen worden waere und man schwerwiegende Probleme nicht automatisch veroeffentlichen duerfte. Befuerworter entgegnen dem, dass 3 Monate haetten ausreichen muessen um einen Patch fuer das Problem zu liefern und es notwendig waere Hersteller zum schnellen Handeln zu zwingen...

Hätte es sich hierbei um einen Fall von "full disclosure" gehandelt, hätte ich damit auch ein Problem gehabt. Aber seit der Meldung sind 3 Monate vergangen! Wie lange soll man denn noch warten?

Was mich auch interessieren würde ist, wie oft sich in den letzten drei Monaten jemand von MS bei Forshaw oder Google wegen der Lücke gemeldet hat. Vermutlich kein mal. Und ob bisher bereits an einem Patch gearbeitet wurde bezweifle ich ehrlich gesagt auch. Die Update-Politik von MS wird immer seltsamer. Patches erscheinen sehr oft sehr spät und wenn dann wird ein Teil wieder zurückgezogen, weil sie Probleme bereiten. Scheinbar liegen die Prioritäten hier einfach wo anders. Ich tippe mal bei Windows 10.

 

[Jan_de_Marten]

Warum hat MS ein so großes Kampffeld?
Die Standartsoftware von jedem soll darauf laufen und das noch in allen Hardwarekombinationen.
Wäre es dann nicht besser bestimmte Software und auch bestimmte Hardware auszuschliessen?!? Ach nee ich höre sie jetzt schon wieder winseln .......... MS hat mein Produkt ausgeschlossen. Böse MS, he EU bestraft mal wieder MS!

 

[mathmos]

MS mit etwas mehr als 127000 Mitarbeitern (ja nur ein Bruchteil davon programmiert) sollte es durchaus schaffen innerhalb von 3 Monaten die Patches ausreichend zu testen (zum testen braucht man imho auch keine Programmierer). Aber selbst bei Patches die ohne Druck von Google und Co. veröffentlicht wurden und die nicht unbedingt als kritisch einzustufen sind (KB3004394 dürfte ein solcher sein, wenn ich nicht irre), hat MS Probleme in der Qualitätssicherung. Gerade der Hersteller des, auf dem Desktop, am meisten verbreiteten Betriebssystem sollte hier einfach eine bessere Leistung abliefern.

Aber nehmen wir einfach mal an, dass 3 Monate nicht ausreichen um einen einzelnen Patch zu erstellen und vernünftig zu testen (was sich irgendwie mit dem monatlichen Patchday nicht verträgt). Hat sich während dieser Frist jemand bei Google oder Forshaw gemeldet um einen eventuellen Aufschub auszuhandeln? Vermutlich nicht. Warum? Wenn ich eine Frist nicht einhalten kann, melde ich mich doch auch. Wenn ich das nicht mache, brauche ich mich dann doch nicht wundern, wenn ich die Folgen zu spüren bekomme.

 

[electric.larry]

Woran liegt das denn bei Microsoft? Sind die schlicht überfordert oder ist die Interesse am Schließen solcher Lücken zu gering?

Denke das hat weder mit fehlendem Interesse noch mit Ueberforderung zu tun. Das ist einfach nur das was passiert, wenn Betriebswirtschafter anstelle von Technikern Entscheidungen treffen.

Riesige Konzerne wie MS sind durch und durch Prozess-"Optimiert" um ueberall Kosten zu sparen, wo es laut Statistik sinnvoll ist. Wenn Googles Release-Policy im Prozess nicht beruecksichtigt ist, dann kann bei Google der haesslichste Bug der Welt im Bugtracker warten, er wird ignoriert werden.

Hat sich während dieser Frist jemand bei Google oder Forshaw gemeldet um einen eventuellen Aufschub auszuhandeln?

Laut Dave Shanahan von WinBeta war Microsoft von der Veroeffentlichung total ueberrascht. Dies steht im Widerspruch zu der Info und den Kommentaren im Google Bugtracker.

Laut Kommentar #49 im Google Bugtracker scheint der Fehler lediglich einen UAC Bypass zu ermoeglichen, nicht jedoch hoehere Privilegien zu erlangen. Dies wuerde bedeuten, dass ein Benutzer bereits Admin Rechte haben muss und er bei der Ausfuehrung einer manipulierte Anwendung lediglich nicht davor gewarnt wird, dass die Anwendung mit hoeheren Privilegien ausgefuehrt wird.
Sollte diese Auskunft stimmen, waere das eine Erklaerung fuer die lange Wartezeit.

Habe hier leider keine Windows Installation um das POC selbst zu testen

 

[bevoller]

Ach nee ich höre sie jetzt schon wieder winseln .......... MS hat mein Produkt ausgeschlossen. Böse MS, he EU bestraft mal wieder MS!

Dazu braucht es die EU nicht, betrifft in meinem Fall aber auch nicht MS, sondern Canon. Es wird z.B. einfach kein Treiber für Linux bereitgestellt und das Deinteresse an Linux-Nutzer auch noch relativ großkotzig kommuniziert. Eine zukünftige Kaufentscheidung bzw. Empfehlung dürfte ziemlich deutlich ausfallen.

Denke das hat weder mit fehlendem Interesse noch mit Ueberforderung zu tun. Das ist einfach nur das was passiert, wenn Betriebswirtschafter anstelle von Technikern Entscheidungen treffen.

Das dürfte vermutlich einer der Hauptgründe sein. Selbst mit fehlerhafter Programmierung ist Windows aus dem heutigen Computer-Alltag nicht mehr wegzudenken. Da spielt es kaum eine Rolle, wenn ein Bug mal mehr oder weniger lang unbemerkt oder ungefixt bleibt.

Dies wuerde bedeuten, dass ein Benutzer bereits Admin Rechte haben muss und er bei der Ausfuehrung einer manipulierte Anwendung lediglich nicht davor gewarnt wird, dass die Anwendung mit hoeheren Privilegien ausgefuehrt wird.
Sollte diese Auskunft stimmen, waere das eine Erklaerung fuer die lange Wartezeit.

Allerdings wäre es wohl ein Qualitätsmerkmal, wenn auch angeblich weniger kritische Fehler schneller/schnellstmöglich behoben werden würden. Da ist es dann aber vielleicht auch ein Punkt der Marktdominanz von Miniweich, dass man keine Notwendigkeit sieht.

 

[Pleitgengeier]

Warum sollte M$ auch mehr Geld als unbedingt nötig in die Bugfix- und QS-Prozesse stecken?
Die Kunden haben denen seit 20 Jahren gezeigt dass jeder Dreck gekauft wird, egal wie schlecht er auch ist...

Warum sollte ein Monopolist überhaupt auf die Qualität achten?

 

[thom53281]

Laut Kommentar #49 im Google Bugtracker scheint der Fehler lediglich einen UAC Bypass zu ermoeglichen, nicht jedoch hoehere Privilegien zu erlangen. Dies wuerde bedeuten, dass ein Benutzer bereits Admin Rechte haben muss und er bei der Ausfuehrung einer manipulierte Anwendung lediglich nicht davor gewarnt wird, dass die Anwendung mit hoeheren Privilegien ausgefuehrt wird.
Sollte diese Auskunft stimmen, waere das eine Erklaerung fuer die lange Wartezeit.

Korrekt. Etwas mehr technisches steht dazu noch hier, wo es sich vermutlich um den selben Bug (nur anders ausgenutzt) handeln sollte. Allerdings macht es die Schwachstelle dennoch nicht weniger gefährlich, denn so ist es immer möglich, auch ohne UAC-Abfrage an Adminrechte zu gelangen.

Allerdings sei noch erwähnt, dass nur die UAC in der Standardeinstellung davon betroffen ist. Die höchste Stufe ist nicht betroffen und daher weiterhin als sicher anzusehen. Dass man die UAC auf die höchste Stufe stellen sollte, ist auch das, was ich schon seit Jahren predige. Wer die Einstellung so noch nicht gesetzt hat, sollte das spätestens jetzt tun, da es früher oder später wieder Wege geben wird, eine privilegierte Anwendung vorzutäuschen.


Grüße
Thomas

 

[electric.larry]

Hab das POC grad auf einem Rechner mit vorinstalliertem Win8.1 als Mitglied der Administratoren-Gruppe mit den ausgelieferten Standardeinstellungen getestet. Wurde beim Ausfuehren von AppCompatCache.exe immer nach dem Admin Passwort gefragt.

Soweit ich das sehe, wird in den UAC Einstellungen "Immer benachrichtigen" als Standard Einstellung deklariert.

 

[accC]

In sozialen Netzwerken wurde Google nun kritisiert, dass leichtfertig mit den Fehlermeldungen umgegangen worden waere und man schwerwiegende Probleme nicht automatisch veroeffentlichen duerfte. Befuerworter entgegnen dem, dass 3 Monate haetten ausreichen muessen um einen Patch fuer das Problem zu liefern und es notwendig waere Hersteller zum schnellen Handeln zu zwingen, bevor Dritte die Vulnerability entdecken und beginnen diese zu exploiten.

Vor allem sollte man beachten, dass durch die Veröffentlichung des Bugs Anwender jetzt gewarnt sind und selbstständig Gegenmaßnahmen einleiten können und sich nicht in falscher Sicherheit wiegen müssen.

 

[thom53281]

Soweit ich das sehe, wird in den UAC Einstellungen "Immer benachrichtigen" als Standard Einstellung deklariert.

Unter Windows 7 war die Option "Standard - nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen werden. Nicht benachrichtigen, wenn ich Änderungen an den Windows-Einstellungen vornehme." der Standard. Unter Windows 8 müsste das afaik auch so sein. Das wurde eben genau von Microsoft so eingestellt, da viele in der Umstellungszeit mit Vista nichts mit der UAC anfangen konnten und sich "genervt" davon fühlten. Daher wurde die UAC mit Windows 7 deutlich verschlechtert, so dass sie eben -wie man hier wieder sieht- im schlechtesten Fall gar keinen Schutz mehr bietet.

Wurde beim Ausfuehren von AppCompatCache.exe immer nach dem Admin Passwort gefragt.

Wenn Du nach einem extra Admin-Passwort gefragt wirst, hast Du sicher keine Standardinstallation. Man bekommt als "normaler" Administrator in Windows 7/8 in dem Fall normalerweise höchstens eine UAC-Abfrage, dort muss man aber kein Passwort eingeben. Mal ganz davon abgesehen, dass ich selbst solche Software in einem extra installierten Windows in einer VM testen würde und nicht auf einem Produktivsystem.


Grüße
Thomas

 

[Hezu]

Microsoft hat jetzt auf die Veröffentlichung reagiert: Sie werfen Google vor, nicht im Sinne und der Sicherheit des Kunden gehandelt zu haben, und mit der frühen Veröffentlichung - trotz dem Google bekannt war, das Microsoft an der Lücke gearbeitet habe - mehr einen Fingerzeig in Richtung Microsoft erzielen wollte.

CVD [Anm.: Coordinated Vulnerability Disclosure] philosophy and action is playing out today as one company - Google - has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.

Damit ist auch die Veröffentlichung dieses Patches für den morgigen Patchdienstag angekündigt worden.

Quelle: http://blogs.technet.com/b/msrc/arc...ter-coordinated-vulnerability-disclosure.aspx

 

[Jan_de_Marten]

Microsoft hat jetzt auf die Veröffentlichung reagiert: Sie werfen Google vor, nicht im Sinne und der Sicherheit des Kunden gehandelt zu haben, und mit der frühen Veröffentlichung - trotz dem Google bekannt war, das Microsoft an der Lücke gearbeitet habe - mehr einen Fingerzeig in Richtung Microsoft erzielen wollte.

hä ........ jetzt? Das ist eine neue Lücke!
James Forshaw hatte eine Lücke am 30.September und eine am 13. Oktober gefunden.

 

[thom53281]

Googles Project Zero hat noch einen:
http://www.chip.de/news/Neue-Luecke-in-Windows-7-und-8.1-Patch-kommt-erst-in-vier-Wochen_75647571.html

Leider gibt es hier im Gegensatz zu oben genannter Lücke wohl keine Möglichkeit, irgendwelche Schutzmaßnahmen zu ergreifen. Hoffen und bis zum nächsten Patchday warten.