close notice
It was translated with technical assistance and editorially reviewed before publication.
Eine gute Woche nach Veröffentlichung des „BlueHammer“-Exploits hat sein Autor nachgelegt: „RedSun“ verschafft Angreifern auf aktuellen Windows-Systemen Admin-Rechte. Dazu bedient sich der Exploit der „Cloud File API“ und eines mutmaßlichen Fehlers in Windows Defender, überschreibt eine Systemdatei und erhöht somit seine Privilegien.
Weiterlesen nach der Anzeige
Der Autor schreibt dazu, dass Windows Defender Dateien, die ein „Cloud-Tag“ tragen, neu schreibe und dazu den ursprünglichen Pfad der Datei verwendet. Sicherheitsforscher Will Dormann führt die knappe Erläuterung des Autors auf Mastodon weiter aus, dass der Exploit eine Datei mittels der „Cloud Files API“ schriebe, danach eine Race Condition bei Schattenkopien gewönne und so im Windows-Systemverzeichnis eine ausführbare Datei plazieren könne. Mittels dieser erhöhe er seine Privilegien zu SYSTEM. Dormann: „Game over.“
Fehler noch ungepatcht
In aktuellen Windows-Versionen ist der Fehler namens „RedSun“ noch nicht gepatcht, wie Dormann herausfand. Er testete den Exploit unter Windows 10 und 11 erfolgreich. Auch die Redaktion von heise security konnte auf einem frisch gepatchten Testsystem bestätigen: Der Exploit funktioniert.
Der RedSun-Exploit verschafft SYSTEM-Privilegien
(Bild: GitHub: Nightmare-Eclipse)
Am 7. April hatte ein anonymer Sicherheitsforscher aus Frust über den Prozess im MSRC (Microsoft Security Response Center) den BlueHammer-Exploit veröffentlicht.
(cku)
Dieser Link ist leider nicht mehr gültig.
Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!