Ein öffentlich verfügbarer Exploit für eine ungepatchte Windows-Schwachstelle sorgt aktuell für Unruhe im Security-Umfeld. Hintergrund ist ein Konflikt zwischen dem Sicherheitsforscher Chaotic Eclipse und Microsoft: Der Forscher veröffentlichte Anfang April einen Proof of Concept für die als „BlueHammer“ bezeichnete Lücke, nachdem er sich nach eigener Darstellung über den Umgang des Microsoft Security Response Center mit seiner Meldung geärgert hatte.
Was bislang bestätigt ist
Nach Angaben von BleepingComputer handelt es sich bei BlueHammer um eine lokale Privilege-Escalation-Schwachstelle in Windows. Der von BleepingComputer zitierte Sicherheitsforscher Will Dormann beschreibt den Ansatz als Kombination aus TOCTOU– und Path-Confusion-Problem. Ziel des Angriffs ist demnach der Zugriff auf die Security Account Manager (SAM)-Datenbank, aus der sich Hashes lokaler Konten auslesen lassen. Gelingt das, kann ein Angreifer seine Rechte bis auf SYSTEM ausweiten oder zumindest stark erhöhte Administratorrechte erlangen.
Warum das für Unternehmen relevant ist
Nach aktuellem Stand ist BlueHammer kein Remote-Exploit, sondern ein Werkzeug zur Rechteausweitung nach einem bereits erfolgten Zugriff. Das Risiko liegt damit vor allem in Post-Compromise-Szenarien – etwa dann, wenn Angreifer zunächst über Phishing, gestohlene Zugangsdaten oder eine andere Schwachstelle in ein System gelangen und anschließend ihre Berechtigungen ausbauen. Genau diese zweite Stufe kann für Incident Response und Schadensausmaß entscheidend sein.
Patch-Status: Zero Day im engeren Sinn
Zum Zeitpunkt der ausgewerteten Berichte war kein offizieller Patch für die Lücke verfügbar. BleepingComputer ordnet den Fall deshalb ausdrücklich als Zero Day ein und verweist dabei auf Microsofts eigene Definition: Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, für die noch kein offizielles Sicherheitsupdate bereitsteht. Microsoft beschreibt in seiner Disclosure-Policy zugleich den Grundsatz der Coordinated Vulnerability Disclosure – also die koordinierte, private Meldung und Behebung vor einer detaillierten öffentlichen Offenlegung.
Noch keine Entwarnung, aber auch kein Grund für Panik
Wichtig ist zugleich, die Lage sauber einzuordnen: Der veröffentlichte Code soll nach Angaben des Forschers selbst nicht in jeder Umgebung zuverlässig funktionieren. BleepingComputer berichtet ebenfalls, dass der Exploit nicht trivial sei. Das senkt die operative Hürde jedoch nur bedingt. Denn schon die öffentliche Verfügbarkeit eines funktionierenden oder teilweise funktionierenden LPE-Exploits erhöht den Druck auf Verteidiger, weil Angreifer nun auf öffentlich zugänglichen Code zurückgreifen können.
Was IT-Entscheider jetzt tun sollten
Für IT-Verantwortliche ist der Fall vor allem ein Signal, die eigene Post-Compromise-Resilienz zu überprüfen. Da es sich um eine lokale Rechteausweitung handelt, stehen nicht allein klassische Patch-Prozesse im Vordergrund, sondern auch Härtungsmaßnahmen, strikte Rechtevergabe, Endpoint Detection sowie die schnelle Erkennung auffälliger Aktivitäten auf bereits kompromittierten Systemen. Microsoft weist in seiner Dokumentation zu Zero-Day-Schwachstellen zudem darauf hin, dass – solange noch kein Update vorliegt – verfügbare Mitigations oder Workarounds zentral für die Risikoreduktion sind.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.