Google enthüllt Details eines ungepatchten Windows AppContainer-Fehlers

Google hat die Details eines Windows AppContainer-Fehlers offengelegt, nachdem Microsoft erklärt hatte, den Fehler nicht beheben zu wollen. Der Softwarekonzern hat jedoch später den Kurs geändert und verkündet, den Fehler doch noch beheben zu wollen.

Der Google Project Zero-Forscher James Forshaw veröffentlichte am Donnerstag einen Blog-Beitrag, in dem er seine Forschungen über die Windows-Firewall und AppContainer beschreibt. AppContainer wird von Microsoft als restriktive Prozessausführungsumgebung beschrieben, die verhindert, dass Anwendungen, die in dieser Umgebung ausgeführt werden, auf Hardware, Dateien, die Registrierung, andere Anwendungen und Netzwerkressourcen zugreifen können, für die sie nicht ausdrücklich zugelassen sind.

Anwendungen, die in einem AppContainer implementiert sind, können nicht gehackt werden, um böswillige Aktionen außerhalb der begrenzten zugewiesenen Ressourcen zu ermöglichen.

Forshaw behauptet jedoch, einen Weg gefunden zu haben, diese Beschränkungen zu umgehen, so dass ein Angreifer möglicherweise auf Dienste auf dem localhost und auf Intranet-Ressourcen zugreifen kann.

Die Standardregeln für die WFP-Verbindungsschichten erlauben es bestimmten ausführbaren Programmen, sich mit TCP-Sockets in AppContainern zu verbinden, ohne dass dies zu einer Erhöhung der Rechte führt.

Forshaw meldete seine Entdeckungen am 8. Juli an Microsoft, doch der Softwarekonzern teilte ihm etwa 10 Tage später mit, dass er die Sicherheitslücke nicht beheben werde, da zur Ausnutzung ein AppContainer kompromittiert werden müsse.

Nach den Regeln von Google Project Zero werden die Details einer Sicherheitslücke nach 90 Tagen veröffentlicht, wenn keine Lösung gefunden wird. In diesem Fall wurde der Fehlerbericht jedoch schon viel früher, nämlich am 19. Juli, veröffentlicht, da Microsoft mitteilte, dass es keinen Fix herausgeben würde - Fehlerberichte werden in solchen Situationen von Project Zero veröffentlicht, damit die Entscheidung des Herstellers von allen diskutiert werden kann.

Kurz bevor Forshaw am Donnerstag einen Blog-Beitrag mit seinen Erkenntnissen veröffentlichte, teilte ihm Microsoft mit, dass man sich entschlossen habe, weiter an diesem Problem zu arbeiten.

Es ist nicht ungewöhnlich, dass Google die Details von Sicherheitslücken bekannt gibt, die Microsoft nicht innerhalb eines bestimmten Zeitrahmens gepatcht hat, einschließlich aktiv ausgenutzter Sicherheitslücken. Googles strenge Veröffentlichungsfristen haben gelegentlich Kritik von Microsoft und anderen Unternehmen hervorgerufen, weil sie die Nutzer gefährden.