Sicherheitsforscher von Googles Project Zero haben eine neue Zero-Day-Sicherheitslücke im Windows-Betriebssystem entdeckt. Auf Twitter erklärte Teamleiter Ben Hawkes, dass die Sicherheitslücke mit der Nummer CVE-2020-17087 im Zuge eines zweistufigen Angriffs in Kombination mit einem weiteren Zero Day Exploit in Google Chrome bereits aktiv für Angriffe ausgenutzt wurde. Die Chrome-Lücke wurde bereits der einige Tage zuvor unter dem Kürzel CVE-2020-15999 von Project Zero veröffentlicht. Ein Patch wird wohl noch einige Tage auf sich warten lassen, denn der nächste reguläre Patch Tuesday von Microsoft ist erst am 10. November. Für Chrome hingegen existiert bereits ein entsprechendes Update, das Nutzer schnellstmöglich installieren sollten, denn allein über die Windows-Schwachstelle scheint es noch zu keinen Vorfällen gekommen zu sein. Es ist bereits das zweite Mal, dass Project-Zero-Forscher eine zweistufige Attacke unter Ausnutzung von Windows- und Chrome-Zero-Days öffentlich gemacht haben. Schon im März 2019 hatten Angreifer eine ähnliche Kombination von Schwachstellen ausgenutzt.
‍
Bei den bislang beobachteten Attacken handelte es sich um sogenannte Sandbox-Escape-Angriffe. Die Sandbox ist dabei eine abgeschlossene Umgebung innerhalb des Browsers, in der Code ausgeführt werden kann, ohne weiteren Zugriff auf andere Bereiche des Rechners zu erhalten. So sollen Infektionen mit Schadcode aus dem Netz verhindert werden. Die Sicherheitslücke in Chrome ermöglichte es Angreifern nun, ihren Schadcode in der Sandbox des Browsers auszuführen, während der Zero Day in Windows ein Überspringen auf das gesamte Betriebssystem erlaubte. Laut Googles Bericht handelt es sich um einen Fehler im Windows-Kernel, der ausgenutzt werden kann, um den Code eines Angreifers mit zusätzlichen Berechtigungen auszustatten.
‍
Betroffen sind laut Project Zero alle Windows-Rechner seit Windows 7, inklusive der aktuellsten Version von Windows 10. Auch einen Proof of Concept Code, also einen Beweis für ihre Behauptungen, lieferten die Sicherheitsforscher, jedoch ohne konkrete Hinweise darauf, wer die neue Schwachstelle derzeit ausnutzt. Bestätigt wurde Project Zero darüber hinaus von einer anderen Einheit von Googles Sicherheitsforschern, der Threat Analysis Group (TAG). Ein Zusammenhang mit der bevorstehenden US-Wahl konnte nicht festgestellt werden.
‍
Eher ungewöhnlich ist jedoch die Tatsache, dass die Sicherheitslücke veröffentlicht wurde, bevor ein Patch herausgegeben wurde. Normalerweise ist es gängige Praxis unter Sicherheitsforschern, mit der Bekanntgabe neuer Schwachstellen zu warten, bis die Entwickler diese geschlossen haben, um Hackern keine Möglichkeit zu geben, von den Ergebnissen der Sicherheitsexperten zu profitieren. Laut Project Zero wurde auch Microsoft eine Woche vor dem Bericht über den Zero Day informiert, hat jedoch bislang kein entsprechendes Sicherheitsupdate herausgegeben. Dieses wird wahrscheinlich erst zum nächsten regulären Patch Tuesday am 10. November ausgespielt. Da jedoch der Fehler in Chrome in der aktuellsten Version bereits geschlossen wurde, können Nutzer sich so vor der bereits zum Einsatz gekommenen Taktik der Hacker schützen.