Vom BlueHammer-Autor: Neuer Windows-Zeroday verschafft Adminrechte

Eine gute Woche nach Veröffentlichung des „BlueHammer“-Exploits hat sein Autor nachgelegt: „RedSun“ verschafft Angreifern auf aktuellen Windows-Systemen Admin-Rechte. Dazu bedient sich der Exploit der „Cloud File API“ und eines mutmaßlichen Fehlers in Windows Defender, überschreibt eine Systemdatei und erhöht somit seine Privilegien.

Der Autor schreibt dazu, dass Windows Defender Dateien, die ein „Cloud-Tag“ tragen, neu schreibe und dazu den ursprünglichen Pfad der Datei verwendet. Sicherheitsforscher Will Dormann führt die knappe Erläuterung des Autors auf Mastodon weiter aus, dass der Exploit eine Datei mittels der „Cloud Files API“ schriebe, danach eine Race Condition bei Schattenkopien gewönne und so im Windows-Systemverzeichnis eine ausführbare Datei plazieren könne. Mittels dieser erhöhe er seine Privilegien zu SYSTEM. Dormann: „Game over.“

Fehler noch ungepatcht

In aktuellen Windows-Versionen ist der Fehler namens „RedSun“ noch nicht gepatcht, wie Dormann herausfand. Er testete den Exploit unter Windows 10 und 11 erfolgreich. Auch die Redaktion von heise security konnte auf einem frisch gepatchten Testsystem bestätigen: Der Exploit funktioniert.

Am 7. April hatte ein anonymer Sicherheitsforscher aus Frust über den Prozess im MSRC (Microsoft Security Response Center) den BlueHammer-Exploit veröffentlicht.

(cku)