Microsoft hat doppelten Zero-Exploit geschlossen

Microsoft hat im Mai 2018 gleich zwei Zero-Day-Sicherheitslücken in Windows-Kernel und in Adobes PDF-Readern geschlossen. Dies geht aus einem Microsoft-Beitrag hervor.

Im Artikel Taking apart a double zero-day sample discovered in joint hunt with ESET schreibt man, dass die Lücken in Zusammenarbeit mit ESET entdeckt und dann geschlossen wurden. Ende März 2018 stieß ein Microsoft Mitarbeiter auf ein PDF-Beispiel, gefunden von ESET Senior Malware Researcher Anton Cherepanov. Das Beispiel wurde ursprünglich an Microsoft als potenzieller Exploit für eine unbekannte Windows-Kernelschwachstelle gemeldet. Während der weiteren Untersuchung, parallel zu ESET-Forschern, entdeckte der Microsoft-Mitarbeiter zwei neue Zero-Day-Exploits im selben PDF. Ein Exploit betraf Adobe Acrobat und Reader, während der andere ältere Plattformen, Windows 7 und Windows Server 2008, betraf.

Der erste Exploit greift die Adobe JavaScript-Engine an, um Shellcode im Kontext dieses Moduls auszuführen. Der zweite Exploit, der sich nicht auf Plattformen wie Windows 10 auswirkt, erlaubt es dem Shellcode, die Sandbox des Adobe Readers zu verlassen und mit erhöhten Rechten aus dem Windows-Kernelspeicher zu laufen. Microsoft und Adobe haben inzwischen entsprechende Sicherheitsupdates veröffentlicht:

• CVE-2018-4990 | Security updates available for Adobe Acrobat and Reader | APSB18-09
• CVE-2018-8120 | Win32k Elevation of Privilege Vulnerability

Weitere Details lassen sich die Microsoft-Dokument entnehmen. (via)