Zero-Day-Lücke in Windows entdeckt

Ein Sicherheitsexperte hat eine neue Zero-Day-Lücke in Windows entdeckt. Statt diese jedoch an Microsoft zu melden und dem Unternehmen so genügend Zeit für einen Patch zu gewähren, veröffentlichte der Finder die Lücke umgehend über Twitter.

Wie das CERT schreibt, handelt es sich um eine Sicherheitslücke im Windows Task Scheduler. Angreifer könnten sich damit erhöhte Rechte auf dem betroffenen System verschaffen. Gefährdet sind laut dem Portal vor allem 64-Bit-Systeme unter Windows 10 sowie der Windows Server 2016. Allerdings wären durch Modifikation des öffentlich zugänglichen Exploit-Codes auch Angriffe auf andere Windows-Systeme möglich. Derzeit gibt es noch keinen Patch für die Lücke, Microsoft soll jedoch bereits daran arbeiten.

Das eigentlich Kuriose an der Sache ist jedoch nicht das Leck an sich, sondern wie dieses publik gemacht wurde. In der Regel senden Sicherheitsteams neu gefundene Lücken zunächst dem betroffenen Unternehmen. Nach einer 90-Tage-Frist erfolgt dann die Veröffentlichung. Dadurch haben die betroffenen Firmen genügend Zeit, um den Fehler zu beheben. Auch die meisten Security-Experten halten sich an diese inoffizielle Regelung.

Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.

— SandboxEscaper (@SandboxEscaper) 27. August 2018

Nicht so jedoch in diesem Fall. Vielmehr hat der Twitter-Nutzer mit dem Pseudonym SandboxEscaper die Lücke über einen vulgären Post publik gemacht.