Nachrichten

Microsoft plant Patch gegen kritische Windows-Lücke erst zum 8. November 2016

Internet | HT4U.net
Eine russische Hackergruppe namens STRONTIUM, auch bekannt unter dem Namen "APT 28", führt derzeit gezielte Angriffe gegen Windows-Systeme durch. Dabei werden zwei Sicherheitslücken, eine in Adobes Flash Player und eine weitere in Windows selbst, genutzt. Während Adobe seine 0-Day-Lücke (CVE-2016-7855) bereits gestopft hat, plant Microsoft dies für den Tag der US-Präsidentenwahl.

Wie Terry Myerson, der Chef der Windows- und Geräte-Gruppe von Microsoft, erklärt, seien Kompatibilitätstests erforderlich, bevor mit der Auslieferung der Sicherheits-Updates begonnen werden könne. Das Problem steckt tief im Kernel und betrifft alle aktuell noch unterstützten Windows-Versionen von Vista bis zum "Windows 10 Anniversary Update". Neue Sicherheitsvorkehrungen im "Windows 10 Anniversary Update" verhindern allerdings, dass die Schwachstelle ausgenutzt werden kann. Zudem lässt sich nur der Internet Explorer angreifen, nicht aber der neuere Webbrowser Edge. Googles Entscheidung, die 0-Day-Lücke vor Auslieferung der Patches zu veröffentlichen, bezeichnet Myerson als enttäuschend und beklagt ein unnötiges Risiko für Windows-Nutzer.

Laut Microsoft geht STRONTIUM gezielt gegen Politiker und Diplomaten sowie Vertreter aus Militär und Wirtschaft vor. Die Opfer würden in einigen Fällen über Monate ausspioniert, um Zugriff auf Rechner und Netzwerke zu bekommen. Dies legt die Vermutung nahe, dass es sich bei STRONTIUM um eine politisch gesteuerte Gruppe handelt. Im aktuellen Fall greifen die Hacker über ein Flash-Element an, das im Laufzeitcode von ActionScript einen Zugriff auf bereits gelöschte Speicherinhalte provoziert. Im Anschluss wird ein Problem im Windows-Kernel für eine Rechteausweitung missbraucht, welche den Download einer Hintertür in Form einer DLL-Datei ermöglicht. Diese wird lokal gespeichert und dann im Browser-Prozess ausgeführt. In Unternehmen sollte nun die "Windows Defender Advanced Threat Protection" (ATP) anschlagen und den Nutzer vor dem verdächtigen Zugriff warnen.

Googles Sicherheitsteam hatte die beiden 0-Day-Lücken am 21. Oktober 2016, einem Freitag, gefunden und Adobe und Microsoft umgehend informiert. Bereits am 26. Oktober 2016 stellte Adobe passende Updates für den Flash Player bereit. Google wartete noch bis zum 31. Oktober 2016 ab, dann wurden die 0-Day-Lücken dokumentiert. Für Microsoft war das zu früh, denn statt den Flicken außer der Reihe zu veröffentlichen, plante man das Update für den November-Patchday ein. Dieser findet aber erst am kommenden Dienstag, also am 8. November 2016, statt. Ein äußerst ungünstiger Termin, denn am selben Tag wird in den USA ein neuer Präsident bzw. eine Präsidentin gewählt. Und eine solche Wahl ist auf funktionierende IT-Infrastrukturen angewiesen.

Autor: mid
[]







Stichworte zur Meldung: Zum Erst Kritische Gegen Patch Plant Microsoft 8. November 2016