Außer der Reihe-Patch für eine weitere Windows Zero-Day-Lücke

Originalbeitrag von Moony Li, Threat Analyst

Trend Micros Sicherheitsforscher haben im „Schatz“ von Hacking Team noch eine weitere Zero-Day Sicherheitslücke gefunden. Microsoft hat für die CVE-2015-2426 bereits einen Patch außer der Reihe veröffentlicht. Die Lücke kann dazu missbraucht werden, um eine Privilegienerhöhung in Windows durchzuführen. Damit könnten Angreifer die Systeme des Opfers mit Rootkits oder Bootkits infizieren, ohne dass der Benutzer davon in Kenntnis gesetzt wird. Angreifer könnten auch eine Fernkontrolle über die betroffenen System übernehmen.
Die gefundenen Dokumente besagen, dass die Memory-Beschädigung von atmfd.dll (ein Adobe Kernel-Modul) zur Erhöhung von Privilegien in Windows 8.1 x64 führen kann. Es handelt sich um ein komplettes Exploit, dass sogar den Ausbruch aus der Chrome Sandbox über einen Kernel-Fehler ermöglicht. Der Proof-of-Concept Exploit-Code führt den Windows Calculator calc.exe mit höheren Privilegien unter winlogon.exe aus.

Microsoft hat einen Patch außer der Reihe herausgebracht mit dem Bulletin MS15-078. Betroffen sind alle unterstützten Windows-Versionen (Windows Vista/Server 2008 und jünger). Das Bulletin macht deutlich, dass der zugrunde liegende Fehler auch dazu genutzt werden könnte, um beliebigen Code auszuführen. Darüber hinaus überschreiben die Fixes in dem Bulletin diejenigen aus MS15-077, wozu Windows Server 2003 gehört (kein Teil dieses Patch). Daher ist davon auszugehen, dass das nun nicht unterstützte Server-Betriebssystem ebenfalls in Gefahr ist. Eine detaillierte Analyse liefert der Originalbeitrag.

Trend Micros Smart Protection Suiten schützen Anwender und deren Daten vor Bedrohungen, die Sicherheitslücken ausnutzen. Die folgende Vulnerability Protection-Regel entspricht dem Schutz vor dieser bestimmten Schwachstelle:

  • 1006903 – Adobe Font Driver Memory Corruption Vulnerability (CVE-2015-2426)

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*