Im Rahmen eines weiteren umfassenden Sicherheitsupdates hat Microsoft 570 Schwachstellen in ihren Produkten, einschließlich Windows und dem Office-Paket, behoben. Der Release der Patches war jedoch von einem unangenehmen Überraschungsmoment begleitet: Ein funktionierender Exploit wurde öffentlich zugänglich, der es Angreifern ermöglicht, die Kontrolle über Administratorkonten zu übernehmen.
KI gegen veralteten Code
Vertreter des Tech-Riesen haben die IT-Community im Voraus vor einem starken Anstieg des Volumens der monatlichen Updates gewarnt. Die Unternehmensführung führt diesen Anstieg auf die Einführung spezialisierter künstlicher Intelligenz-Modelle zurück. Laut Berichten ermöglichen KI-Scanner Entwicklern eine deutlich schnellere Analyse veralteter Code-Fragmente und das Auffinden von Fehlern, die jahrelang unbemerkt blieben. Dies bietet die Möglichkeit, kritische Lücken zu schließen, bevor Hacker sie ausnutzen können.
Zero-Day-Bedrohungen
Unter den behobenen Schwachstellen hatten mindestens zwei den Status „Zero-Day“ und wurden bereits für reale Angriffe genutzt. Die erste befand sich in Windows Server und ermöglichte Angreifern, ihre Berechtigungen auf Administratorebene zu erhöhen. Die zweite wurde im Dateiaustauschserver SharePoint entdeckt. Das US-Agentur für Cybersicherheit und Infrastruktur (CISA) bestätigte offiziell, dass diese Schwachstelle aktiv für das Hacken von Unternehmensnetzwerken genutzt wurde.
Exploit HiveLegacy
Kurz nach dem Erscheinen der Updates veröffentlichte ein unabhängiger Forscher unter dem Pseudonym NightmareEclypse den Demonstrationscode für den Exploit HiveLegacy. Dies ist bereits das neunte ähnliche Werkzeug, das vom Spezialisten öffentlich zugänglich gemacht wurde. In seinen Erklärungen begründete der Forscher seine Handlungen mit Unzufriedenheit darüber, wie Microsoft auf Berichte über gefundene Fehler reagiert.
Der Exploit nutzt eine Schwachstelle im Windows-Benutzerprofil-Dienst aus. Die Technologie ermöglicht einem normalen lokalen Benutzer ohne Administratorrechte, den dem Administrator gehörenden Registrierungsklassenstamm zu modifizieren. Dies ermöglicht es, das System so einzurichten, dass beim Anmelden des Administrators automatisch schädlicher Code ausgeführt wird, was dem Angreifer faktisch die vollständige Kontrolle über das Gerät verschafft.
Um den Angriff durchzuführen, muss der Angreifer die Anmeldeinformationen eines Benutzers und den Namen eines dritten Kontos auf demselben Computer kennen. Führende Sicherheitsanalysten haben die Funktionsfähigkeit des Exploits bereits bestätigt und ihn als „äußerst gefährliches Werkzeug“ bezeichnet, das leicht für komplexe Angriffe modifiziert werden kann.
Microsoft gab bekannt, den Bericht über die Schwachstelle HiveLegacy zu untersuchen, und forderte Forscher auf, die Politik der koordinierten Offenlegung von Informationen einzuhalten.