\n English<\/a>.<\/p>\n
It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n
Eine gute Woche nach Ver\u00f6ffentlichung des \u201eBlueHammer<\/a>\u201c-Exploits hat sein Autor nachgelegt: \u201eRedSun\u201c verschafft Angreifern auf aktuellen Windows-Systemen Admin-Rechte. Dazu bedient sich der Exploit der \u201eCloud File API\u201c und eines mutma\u00dflichen Fehlers in Windows Defender, \u00fcberschreibt eine Systemdatei und erh\u00f6ht somit seine Privilegien.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Der Autor schreibt dazu, dass Windows Defender Dateien, die ein \u201eCloud-Tag\u201c tragen, neu schreibe und dazu den urspr\u00fcnglichen Pfad der Datei verwendet. Sicherheitsforscher Will Dormann f\u00fchrt die knappe Erl\u00e4uterung des Autors auf Mastodon weiter aus<\/a>, dass der Exploit eine Datei mittels der \u201eCloud Files API\u201c schriebe, danach eine Race Condition bei Schattenkopien gew\u00f6nne und so im Windows-Systemverzeichnis eine ausf\u00fchrbare Datei plazieren k\u00f6nne. Mittels dieser erh\u00f6he er seine Privilegien zu SYSTEM. Dormann: \u201eGame over.\u201c<\/p>\n Fehler noch ungepatcht<\/p>\n In aktuellen Windows-Versionen ist der Fehler namens \u201eRedSun\u201c noch nicht gepatcht, wie Dormann herausfand. Er testete den Exploit unter Windows 10 und 11 erfolgreich. Auch die Redaktion von heise security konnte auf einem frisch gepatchten Testsystem best\u00e4tigen: Der Exploit funktioniert.<\/p>\n