{"id":213381,"date":"2019-01-02T08:37:59","date_gmt":"2019-01-02T07:37:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=213381"},"modified":"2024-10-04T11:24:53","modified_gmt":"2024-10-04T09:24:53","slug":"windows-10-0-day-bug-ermglicht-dateien-zu-berschreiben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/01\/02\/windows-10-0-day-bug-ermglicht-dateien-zu-berschreiben\/","title":{"rendered":"Windows 10: 0-Day Bug ermöglicht Dateien zu überschreiben"},"content":{"rendered":"

[English<\/a>]Ende des Jahres wurde ein neuer 0-Day Bug in Windows bekannt, der es Angreifern erm\u00f6glicht, Dateien zu \u00fcberschreiben. Hier einige Informationen zu diesem neuen Bug.<\/p>\n

<\/p>\n

\"\"Der 0-Day Bug in Windows wurde im Dezember 2018 durch einen Hacker mit dem Alias SandboxEscaper entdeckt, wie Bleeping Computer hier berichtet<\/a>. Der Hacker hatte in der Vergangenheit bereits drei weitere 0-Day Bugs in Windows ver\u00f6ffentlicht.<\/p>\n

Bug im Error Reporting System<\/h2>\n

Der 0-Day Bug befindet sich im Windows Error Reporting-System und erm\u00f6glicht in Windows 10 Dateien, f\u00fcr die ein Benutzer normalerweise keine Berechtigungen hat, zu \u00fcberschreiben.<\/p>\n

\"0-Day<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

Dieses nutzt die Tatsache, dass das Windows Error Reporting-Tool in der Aufgabenplanung ausgef\u00fchrt werden kann (siehe obige Screenshot). Ein Proof of Concept (PoC) wurde von SandboxEscaper auf GitHub ver\u00f6ffentlicht. Dieser PoC-Code \u00fcberschreibt die Datei 'pci.sys' mit Informationen \u00fcber Soft- und Hardwareprobleme, die \u00fcber Windows Error Reporting (WER) gesammelt wurden.<\/p>\n

Pci.sys' ist eine Systemkomponente, die f\u00fcr das korrekte Booten des Betriebssystems erforderlich ist, da sie physische Ger\u00e4teobjekte auflistet.<\/p><\/blockquote>\n

Laut SandboxEscaper k\u00f6nnten auch anderen Dateien \u00fcber diesen Ansatz \u00fcberschrieben werden. Der Hacker spekuliert: \"Sie k\u00f6nnen den PoC auch verwenden, um m\u00f6glicherweise AV-Software von Drittanbietern zu deaktivieren\".<\/p>\n

Der Hack ist recht unzuverl\u00e4ssig<\/h2>\n

Der 0-Day-Bug ist aktuell wohl eher unkritisch, eine Ausnutzung in the wild erscheint unwahrscheinlich. Der Hacker schreibt dazu, dass der vom PoC genutzte Effekt nicht garantiert sei und der Exploit mit einigen Einschr\u00e4nkungen versehen ist. Er konnte auf einigen Systemen mit bestimmten CPUs nicht beobachtet werden. Zum Beispiel l\u00e4sst sich der Fehler nicht auf einer Maschine mit einem CPU-Kern reproduzieren. Es kann auch einige Zeit dauern, bis \u00fcberhaupt ein Effekt auftritt. Der PoC ist n\u00e4mlich von einer Race Condition abh\u00e4ngig, bei der ein Prozess schneller als ein andere Zugriff auf Ressourcen erh\u00e4lt.<\/p>\n

\n

This latest 0day from SandboxEscaper requires a lot of patience to reproduce. And beyond that, it only *sometimes* overwrites the target file with data influenced by the attacker. Usually it's unrelated WER data.https:\/\/t.co\/FnqMRpLy77<\/a> pic.twitter.com\/jAk5hbr46a<\/a><\/p>\n

\u2014 Will Dormann (@wdormann) 29. Dezember 2018<\/a><\/p><\/blockquote>\n