{"id":323988,"date":"2026-04-22T00:03:41","date_gmt":"2026-04-21T22:03:41","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=323988"},"modified":"2026-04-21T19:42:37","modified_gmt":"2026-04-21T17:42:37","slug":"kritische-schwachstelle-in-microsoft-github-repository","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/04\/22\/kritische-schwachstelle-in-microsoft-github-repository\/","title":{"rendered":"Kritische Schwachstelle in Microsoft-GitHub-Repository"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Sicherheitsforscher von Tenable Research haben eine kritische Schwachstelle (CVSSv4 Score 9,3) in einem Microsoft-GitHub-Repository entdeckt. Die Sicherheitsl\u00fccke erm\u00f6glicht Remote Code Execution (RCE) sowie unautorisierten Zugriff auf Repository-Secrets. Die Entdeckung unterstreicht, dass CI\/CD-Infrastrukturen ein zentraler Bestandteil moderner Angriffsfl\u00e4chen sind.<\/p>\n<p><!--more--><\/p>\n<p>Die Schwachstelle betrifft einen verwundbaren GitHub-Workflow im Repository \"Windows-driver-samples\". Mit rund 5.000 Forks und 7.700 Stars stellt dieses Repository einen wichtigen Anlaufpunkt f\u00fcr Entwickler dar. Konkret geht es bei der Schwachstelle um Automatisierungsskripte auf Basis von GitHub Actions. Die Tenable-Forscher zeigten, wie Angreifer dessen CI\/CD-Infrastruktur gezielt ausnutzen k\u00f6nnen, um die Software-Lieferkette zu kompromittieren.<\/p>\n<h2>Ein \u201etrivialer\" Angriffspfad<\/h2>\n<p>Die Ursache liegt in einer einfachen Python-String-Injection-Schwachstelle. Ein m\u00f6gliches Angriffsszenario:<\/p>\n<ul>\n<li><strong>Erstellen eines Issues:<\/strong> Ein Angreifer er\u00f6ffnet ein GitHub-Issue \u2013 eine Funktion, die jedem registrierten Nutzer offensteht.<\/li>\n<li><strong>Einschleusen von Schadcode:<\/strong> In der Issue-Beschreibung wird b\u00f6sartiger Python-Code platziert.<\/li>\n<li><strong>Automatische Ausf\u00fchrung:<\/strong> Der GitHub-Workflow wird beim Erstellen des Issues automatisch ausgel\u00f6st und f\u00fchrt den Schadcode im Kontext des GitHub-Runners aus.<\/li>\n<li><strong>Auslesen von Secrets:<\/strong> Der Angreifer kann den GITHUB_TOKEN sowie weitere im Repository konfigurierte Secrets auslesen.<\/li>\n<\/ul>\n<h2>Auswirkungen auf die Repository-Integrit\u00e4t<\/h2>\n<p>Der ausgelesene GITHUB_TOKEN erm\u00f6glicht Aktionen im jeweiligen GitHub-Repository. Da das Repository vor 2023 erstellt wurde und der Token ohne explizite Einschr\u00e4nkung zumindest das Erstellen von Issues erlaubt, gehen die Researcher davon aus, dass weiterhin standardm\u00e4\u00dfige Lese- und Schreibrechte bestehen. Dies k\u00f6nnte es Unbefugten erm\u00f6glichen, privilegierte Aktionen im Namen von Microsoft auszuf\u00fchren, etwa Issues anzulegen oder Inhalte im Repository zu ver\u00e4ndern.<\/p>\n<p>\"Die CI\/CD-Infrastruktur ist Teil der Angriffsfl\u00e4che und der Software-Lieferkette eines Unternehmens\", erkl\u00e4rt R\u00e9my Marot, Staff Research Engineer bei Tenable. \u201eOhne geeignete Schutzma\u00dfnahmen k\u00f6nnen Schwachstellen in Pipelines ausgenutzt werden, um gro\u00df angelegte Supply-Chain-Angriffe zu starten \u2013 mit potenziell gravierenden Folgen f\u00fcr nachgelagerte Systeme und Nutzer.\"<\/p>\n<p>Im Zuge der Offenlegung betont Tenable, dass Unternehmen ihre CI\/CD-Pipelines als kritische Infrastruktur behandeln sollten, und empfiehlt zur Vermeidung vergleichbarer Risiken folgende Ma\u00dfnahmen:<\/p>\n<ul>\n<li><strong>Strenge Sicherheitskontrollen:<\/strong> Robuste Schutzmechanismen zum Schutz von Quellcode und Build-Integrit\u00e4t in automatisierten Workflows implementieren.<\/li>\n<li><strong>\u00dcberpr\u00fcfung von Berechtigungen:<\/strong> GITHUB_TOKEN-Berechtigungen explizit anpassen und auf das notwendige Minimum beschr\u00e4nken.<\/li>\n<li><strong>Monitoring der Pipelines:<\/strong> Automatisierte Workflows regelm\u00e4\u00dfig auf m\u00f6gliche Injection-Schwachstellen pr\u00fcfen, insbesondere wenn sie durch externe Nutzereingaben ausgel\u00f6st werden.<\/li>\n<\/ul>\n<p>Tenable hat die Details zur kritischen Schwachstelle im Blog-Beitrag <a href=\"https:\/\/www.tenable.com\/security\/research\/tra-2026-30\" target=\"_blank\" rel=\"noopener\">Microsoft GitHub Repository Windows-driver-samples Workflow Remote Code Execution<\/a> ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher von Tenable Research haben eine kritische Schwachstelle (CVSSv4 Score 9,3) in einem Microsoft-GitHub-Repository entdeckt. Die Sicherheitsl\u00fccke erm\u00f6glicht Remote Code Execution (RCE) sowie unautorisierten Zugriff auf Repository-Secrets. Die Entdeckung unterstreicht, dass CI\/CD-Infrastrukturen ein zentraler Bestandteil moderner Angriffsfl\u00e4chen sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[7297,6664,3836],"class_list":["post-323988","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-github","tag-schwachstelle","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=323988"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323988\/revisions"}],"predecessor-version":[{"id":323989,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323988\/revisions\/323989"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=323988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=323988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=323988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}