Kritische Schwachstelle in Microsoft-GitHub-Repository

Veröffentlicht am 22. April 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Sicherheitsforscher von Tenable Research haben eine kritische Schwachstelle (CVSSv4 Score 9,3) in einem Microsoft-GitHub-Repository entdeckt. Die Sicherheitslücke ermöglicht Remote Code Execution (RCE) sowie unautorisierten Zugriff auf Repository-Secrets. Die Entdeckung unterstreicht, dass CI/CD-Infrastrukturen ein zentraler Bestandteil moderner Angriffsflächen sind.

Die Schwachstelle betrifft einen verwundbaren GitHub-Workflow im Repository "Windows-driver-samples". Mit rund 5.000 Forks und 7.700 Stars stellt dieses Repository einen wichtigen Anlaufpunkt für Entwickler dar. Konkret geht es bei der Schwachstelle um Automatisierungsskripte auf Basis von GitHub Actions. Die Tenable-Forscher zeigten, wie Angreifer dessen CI/CD-Infrastruktur gezielt ausnutzen können, um die Software-Lieferkette zu kompromittieren.

Ein „trivialer" Angriffspfad

Die Ursache liegt in einer einfachen Python-String-Injection-Schwachstelle. Ein mögliches Angriffsszenario:

  • Erstellen eines Issues: Ein Angreifer eröffnet ein GitHub-Issue – eine Funktion, die jedem registrierten Nutzer offensteht.
  • Einschleusen von Schadcode: In der Issue-Beschreibung wird bösartiger Python-Code platziert.
  • Automatische Ausführung: Der GitHub-Workflow wird beim Erstellen des Issues automatisch ausgelöst und führt den Schadcode im Kontext des GitHub-Runners aus.
  • Auslesen von Secrets: Der Angreifer kann den GITHUB_TOKEN sowie weitere im Repository konfigurierte Secrets auslesen.

Auswirkungen auf die Repository-Integrität

Der ausgelesene GITHUB_TOKEN ermöglicht Aktionen im jeweiligen GitHub-Repository. Da das Repository vor 2023 erstellt wurde und der Token ohne explizite Einschränkung zumindest das Erstellen von Issues erlaubt, gehen die Researcher davon aus, dass weiterhin standardmäßige Lese- und Schreibrechte bestehen. Dies könnte es Unbefugten ermöglichen, privilegierte Aktionen im Namen von Microsoft auszuführen, etwa Issues anzulegen oder Inhalte im Repository zu verändern.

"Die CI/CD-Infrastruktur ist Teil der Angriffsfläche und der Software-Lieferkette eines Unternehmens", erklärt Rémy Marot, Staff Research Engineer bei Tenable. „Ohne geeignete Schutzmaßnahmen können Schwachstellen in Pipelines ausgenutzt werden, um groß angelegte Supply-Chain-Angriffe zu starten – mit potenziell gravierenden Folgen für nachgelagerte Systeme und Nutzer."

Im Zuge der Offenlegung betont Tenable, dass Unternehmen ihre CI/CD-Pipelines als kritische Infrastruktur behandeln sollten, und empfiehlt zur Vermeidung vergleichbarer Risiken folgende Maßnahmen:

  • Strenge Sicherheitskontrollen: Robuste Schutzmechanismen zum Schutz von Quellcode und Build-Integrität in automatisierten Workflows implementieren.
  • Überprüfung von Berechtigungen: GITHUB_TOKEN-Berechtigungen explizit anpassen und auf das notwendige Minimum beschränken.
  • Monitoring der Pipelines: Automatisierte Workflows regelmäßig auf mögliche Injection-Schwachstellen prüfen, insbesondere wenn sie durch externe Nutzereingaben ausgelöst werden.

Tenable hat die Details zur kritischen Schwachstelle im Blog-Beitrag Microsoft GitHub Repository Windows-driver-samples Workflow Remote Code Execution veröffentlicht.

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.