News 22.01.2010, 10:53 Uhr

17 Jahre alte Windows-Lücke

Ein Sicherheitsforscher hat eine 17 Jahre alte Schwachstelle in der Windows-Unterstützung für 16-Bit-Software veröffentlicht, die das Ausführen von Programmen mit Systemrechten ermöglichen kann.
Microsoft hat in diesen Tagen nicht nur mit einer neuen Sicherheitslücke im Internet Explorer zu kämpfen. Auch eine uralte Schwachstelle, die wohl seit etwa 1993 in Windows steckt, ist nun ans Tageslicht gekommen. Ein Sicherheitsforscher hat jetzt Details und einen Demo-Exploit veröffentlicht, nachdem er die Lücke vor sechs Monaten an Microsoft gemeldet hatte.
Die Sicherheitslücke steckt in der sogenannten Virtual DOS Machine (NTVDM), die alte 16-Bit-Software auf 32-Bit-Systemen unterstützen soll. Vermutlich ist der Fehler bereits seit Windows NT vorhanden. Tavis Ormandy vom Google-Sicherheitsteam hat die Lücke im Juni 2009 an Microsoft gemeldet. Nachdem bislang kein offizieller Patch verfügbar ist, hat er sich zur Veröffentlichung entschlossen. Sein Beispiel-Code funktioniert nach eigenen Angaben unter allen aktuell von Microsoft unterstützten Windows-Versionen (Windows 2000 bis Windows 7).
Microsoft hat daraufhin die Sicherheitsmitteilung mit der Nummer 979682 veröffentlicht. Demnach sind die 64-Bit-Fassungen von Windows nicht anfällig. Als Abhilfe empfiehlt Microsoft die Abschaltung der NTVDM über die Gruppenrichtlinien. Ob Microsoft ein Sicherheits-Update bereit stellen wird, das die Lücke beseitigt, wird derzeit noch geprüft.



Kommentare
Avatar
Michel.Eichelberger
22.01.2010
Hierbei ist nicht nur das Alter zu beachten, sondern auch dass diese Lücke seit eben diesen 17 Jahren "bekannt" war. Von daher ist es schon ein kleiner Unterschied ^^"

Avatar
gastrohost
23.01.2010
Es sind doch eigentlich alle Lücken in Windows so alt, da Die neue Version ja jeweils auf Basis der alten entwickelt wird. Oder liege ich da falsch? Höchstwahrscheinlich schon. Vista z.B. wurde anfangs zwar auf der Basis vom Windows XP Kernel entwickelt. Da das Produkt jedoch sehr fragil und instabil war, entschloss man sich Windows Vista auf der Basis von Windows 2003 (ein Server Betriebssystem) zu entwickeln. Doch da reden wir vom Kernel, dem Kern von Windows. NTVDM ist jedoch ein Prozess, der die Ausführung von 16-Bit DOS-Software unter 32-Bit Systemen ermöglicht. Seit es Windows NT gibt, also rund 17 Jahre, gibt es auch diesen Prozess. Ich habe mir vorher schnell die Versionsnummer der Datei auf einem Windows 7-Rechner gecheckt. Sie ist 6.1.7600.16385 Wurde also Wurde also zuletzt für Windows 7 angepasst. (Windows 7 hat die Versionsnummer 6.1.7600) Zu behaupten dass der Fehler 17 Jahre alt sei, ist purer Populismus. Zumal der Prozess in dieser Zeit sicherlich weiterentwickelt wurde. Ich habe den Expolit-Code zwar noch nicht gesehen. Nehme aber an, dass der Computer dazu gebracht werden muss dass NTVDM diese ausführt. Also eine Datei mit .exe oder .com am Ende. Zudem wird diese Datei unweigerlich eine Konsole öffnen. Keine schöne Sicherheitslücke für eine Infektion.

Avatar
Tuxone
23.01.2010
Keine schöne Sicherheitslücke für eine Infektion. Gehen wir mal davon aus das kein gestresster Arbeitnehmer sich bei seinem Arbeitgeber Admin rechte verschafft und den ganzen Betrieb in die Hölle schickt.

Avatar
gastrohost
24.01.2010
Gehen wir mal davon aus das kein gestresster Arbeitnehmer sich bei seinem Arbeitgeber Admin rechte verschafft und den ganzen Betrieb in die Hölle schickt. Hm... Auch das ist nicht ganz realistisch... Solange der gestresste Mitarbeiter nicht per RDP auf dem Server arbeitet kann er kaum viel Anrichten. Höchstens seinen Rechner schrotten. Aber dafür gibt es auch andere Tools (Passwörter auslesen etc... Nennen wir mal keine Namen) Aber für Cyberkriminelle wird diese Lücke wohl kaum interessant. Zumal man getrost diese Funktion abschalten kann. Wer arbeitet schon noch mit 16-Bit DOS-Programmen? Dafür gibt es doch geeignete Alternative DOS-Emulatoren. Bei x64 ist ja der 16-Bit Support vollkommen weg.