l+f: Obduktion eines Wattwurms

McAfee hat im Oktober den von Microsoft bereitgestellten Sandworm-Patch ausgetrickst und verrät jetzt Details.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag
Von
  • Ronald Eikenberg

Die Sicherheitsexperten von McAfee erklären in ihrem Blog, was es genau mit der Sandworm-Lücke in Windows auf sich hat – und wie es ihnen im Oktober gelang, den von Microsoft bereitgestellten Patch zu umgehen. Die Lücke klaffte demnach in einem COM-Objekt namens Packager, das in allen Windows-Versionen existiert. Spricht man es zum Beispiel über ein Office-Dokument an, kann man im ersten Schritt eine ausführbare Datei im Temp-Ordner platzieren und diese im zweiten Schritt zur Ausführung bringen.

Der Exploit simuliert dabei einen Klick auf den zweiten Eintrag vom Kontextmenü der zuvor abgelegten Datei, womit man häufig eine Installation anstoßen kann. Nach dem ersten Patch war das bei ausführbaren Dateien nicht mehr möglich, allerdings sehr wohl bei Dateien, die nicht selbst ausführbar sind und mit Anwendungen geöffnet werden (etwa ZIP-Archive oder Python-Skripte). McAffee fand einen Weg, in vielen Fällen auch auf diesem Weg beliebige Befehle zu starten. Diesen Angriffsweg hat Microsoft an seinem November-Patchday abgeschnitten.

Demonstration eines Sandworm-Angriffs

lost+found: Die heise-Security-Rubrik für Kurzes, Skuriles und manchmal auch Triviales aus dem Bereich IT-Security – mehr davonals RSS

(rei)