Exploit für kritische Sicherheitslücke in Windows 10 veröffentlicht
Google liefert den Beispielcode nach Ablauf seiner 90-Tage-Frist. Ein Angreifer muss ein Opfer lediglich zum Besuch einer speziell präparierten Website verleiten. Eine darin enthaltene Schriftdatei führt zu einem Speicherfehler und unter Umständen zu einer Remotecodeausführung.
Nutzer, die die im Rahmen des Februar-Patchdays bereitgestellten Sicherheitsupdates noch nicht installiert haben, sollten dies nun dringend zumindest für Windows 10 nachholen. Google hat am vergangenen Donnerstag nämlich Beispielcode für einen Exploit veröffentlicht, mit dem sich eine kritische Anfälligkeit in Windows 10 bis einschließlich Version 20H2 ausnutzen lässt. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen.
Die Schwachstelle steckt in der Komponente DirectWrite. Sie steht Windows-Anwendungen zur Verfügung, um Schriftzeichen darzustellen. Unter anderem greifen Browser wie Chrome, Firefox und Edge auf DirectWrite zurück, um Web-Schriftarten korrekt anzuzeigen.
Diesen Umstand macht sich auch Googles Proof-of-Concept zunutze. Mateusz Jurczyk und Dominik Röttsches von Googles Project Zero entwickelten eine speziell gestaltete TrueType-Schriftart, in der bestimmte Parameter verändert wurden. Zusammen mit einer HTML-Datei, die die Schriftart enthält, ermöglicht es der Beispielcode über jeden beliebigen Browser die Schwachstelle in DirectWrite mit der Kennung CVE-2021-24093 anzusprechen.
Die Komplexität eines solchen Angriffs stuft auch Microsoft als gering ein. Ein Opfer muss lediglich dazu verleitet werden, eine von den Angreifern kontrollierte HTML-Datei im Internet zu öffnen. Eine E-Mail mit einem Link und ein wenig Social Engineering wäre hier bereits ein erfolgsversprechender Ansatz.
Der von Google bereitgestellte Beispielcode alleine wird es Hackern allerdings nicht ermöglichen, Schadcode aus der Ferne einzuschleusen und auszuführen: Google löst lediglich einen Speicherfehler aus, bei dem Versuch, das Zeichen “Æ” darzustellen. Dieser könne dann allerdings für eine Remotecodeausführung im Context des DirectWrite-Clients benutzt werden. Der Proof-of-Concept ist somit nur dafür gedacht, den Fehler selbst mit einem Browser nachzuvollziehen.
Microsoft verteilt seinen Patch für die Anfälligkeit seit 9. Februar. Er ist in den aktuell verfügbaren kumulativen Updates für Windows 10 enthalten, darunter Build 190412.804 für Windows 10 Version 2004 und Build 19042.804 für Version 20H2.