Alles rund um Windows

CISA warnt vor Windows Win32k- Sicherheitslücke, die zur Ausführung von beliebigem Code ausgenutzt wird

Die Cybersecurity and Infrastructure Security Agency (CISA) hat ein Advisory zu CVE-2018-8639 herausgegeben, einer Sicherheitslücke zur Privilegienerweiterung in der Microsoft Windows Win32k-Komponente, die von Angreifern aktiv zur Ausführung von beliebigem Code im Kernel-Modus ausgenutzt wird.

Diese Sicherheitslücke, die in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen wurde, unterstreicht die systemischen Risiken in ungepatchten Systemen und die anhaltende Bedrohungslage für Netzwerke im öffentlichen und privaten Sektor.

Die Sicherheitslücke befindet sich im Win32k.sys-Treiber, einer zentralen Windows-Komponente, die für die Verwaltung von Interaktionen mit der grafischen Benutzeroberfläche (GUI) zuständig ist. 
Microsoft Windows Win32k-Sicherheitslücke

Die als CWE-404: Improper Resource Shutdown or Release bezeichnete Sicherheitslücke ermöglicht authentifizierten lokalen Angreifern die unsachgemäße Freigabe von Systemressourcen und damit die Ausweitung von Berechtigungen.

„Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code im Kernel-Modus ausführen“, so CISA.

Eine erfolgreiche Nutzung dieser Sicherheitslücke verleiht dem Angreifer Ausführungsrechte im Kernel-Modus und ermöglicht es ihm, Sicherheitsprotokolle zu umgehen, dauerhafte Malware zu installieren oder Systemfunktionen unbemerkt zu manipulieren.

Microsoft hat diese Sicherheitslücke ursprünglich im Dezember 2018 im Rahmen seiner Patch Tuesday-Updates (KB4483235) gepatcht.

Allerdings sind ältere Systeme mit veralteten Windows-Versionen, insbesondere in industriellen Steuerungssystemen (ICS) und Infrastrukturen im Gesundheitswesen, aufgrund eines inkonsistenten Patch-Managements weiterhin anfällig.

Der lokale Angriffsvektor des Exploits erschwert die Erkennung, da Angreifer ihn häufig mit Phishing-Kampagnen oder dem Diebstahl von Anmeldeinformationen verbinden, um einen ersten Zugang zu erhalten.

Schutzmaßnahmen

Der KEV-Katalog der CISA fungiert als Bundesrichtlinie im Rahmen der Binding Operational Directive (BOD) 22-01, die alle Bundesbehörden verpflichtet, die aufgeführten Sicherheitslücken innerhalb strenger Fristen zu beheben.

Für CVE-2018-8639 schreibt die CISA die sofortige Anwendung des Patches 2018 von Microsoft oder die Stilllegung der betroffenen Systeme vor, wenn ein Patching nicht durchführbar ist.
Unternehmen des privaten Sektors sind zwar rechtlich nicht an BOD 22-01 gebunden, werden aber nachdrücklich aufgefordert, sich an diesen Richtlinien zu orientieren, um die Risiken in der Lieferkette zu mindern.

Zwar wurden keine direkten Verbindungen zu Ransomware-Kampagnen bestätigt, aber der Zugriff auf die Kernel-Ebene entspricht der Taktik, die von APT29 und der Lazarus Group bei der Datenexfiltration und Spionageoperationen eingesetzt wird.

In der Mitteilung von Microsoft wird klargestellt, dass die Sicherheitslücke Windows 7 bis Windows 10 und Windows Server-Versionen bis 2019 betrifft. 
Unternehmen, die auf Altsysteme angewiesen sind, sehen sich mit betrieblichen Hürden konfrontiert, da die Bereitstellung von Patches die Kompatibilität mit spezieller Software beeinträchtigen kann.

In solchen Fällen empfiehlt die CISA virtuelles Patching über Intrusion Detection Systems (IDS) oder Endpoint Detection and Response (EDR) Tools, um Angriffsversuche zu erkennen.

Auch wenn der Microsoft-Patch die wichtigste Schutzmaßnahme bleibt, müssen Unternehmen proaktive Strategien anwenden, wie z. B. die Priorisierung des KEV-Katalogs, die Durchsetzung von Zero-Trust-Architekturen und die Durchführung routinemäßiger Kernel-Mode-Integritätsprüfungen.

Da Cyber-Angreifer ihre Ausnutzung von Legacy-Systemen immer weiter verfeinern, steigen die Kosten der Untätigkeit exponentiell an.