Thema: Höhere Zugriffsrechte unter Windows durch fehlerhaften Treiber

[SiLæncer]

Ein fehlerhafter Treiber in Windows XP SP2 und Windows Server 2003 SP1 ermöglicht es Anwendern mit eingeschränkten Rechten, an System-Rechte zu gelangen. Ursache der Schwachstelle ist ein Buffer Overflow im Treiber secdrv.sys, der nach Angaben von Symantec Bestandteil von Macrovisions Kopierschutz SafeDisc ist. Die Datei ist im Lieferumfang von Windows enthalten. Mit manipulierten Parametern beim Aufruf ist es möglich, eigenen Code in den Speicher zu schreiben und mit System-Rechten zu starten.

Laut Symantec wird die Schwachstelle auch bereits aktiv ausgenutzt, allerdings muss ein Angreifer Zugriff auf ein System haben. Microsoft soll über das Problem informiert sein, einen Patch gibt es aber noch nicht. Symantec will zwar keine Details zu der Lücke preis geben, allerdings gibt es mehrere Blogs, die sich mit dem Fehler beschäftigt haben und auch einen Exploit zur Verfügung stellen, der die Lücke demonstriert.

Derartige Privilege-Escalation-Lücken betreffen Heimanwender weniger, da sie in der Regel ohnehin den vollen Zugriff auf ihr System haben. Administratoren in Unternehmen empfiehlt Symantec hingegen, den Zugriff für nicht privilegierte Anwender auf Systeme beziehungsweise Dienste zu sperren. Vista ist nach bisherigem Kenntnisstand nicht betroffen.

Siehe dazu auch:

    * Privilege Escalation Exploit In the Wild, Meldung von Symantec
    * Symantec warns of local privilege escalation 0Day in Windows. Busted, Blogeintrag auf reversemode.com
    * Macrorisión - Windows XP/2k3 0Day, Blogeintrag auf 48Bits.com

Quelle und Links : http://www.heise.de/newsticker/meldung/97723

[SiLæncer]

Microsoft hat einen Fehlerbericht zu dem mit Windows XP und Server 2003 ausgelieferten verwundbaren Treiber secdrv.sys von Macrovision veröffentlicht. Darin bestätigen die Redmonder die Möglichkeit, dass am System angemeldete Anwender mit eingeschränkten Rechten an höhere Rechte gelangen können. Dazu reicht es aus, den Treiber mit manipulierten Parametern aufzurufen, so eigenen Code in den Speicher zu schreiben und mit System-Rechten zu starten. Vista ist nicht betroffen.

Microsoft bestätigt auch, dass die Lücke bereits aktiv auf Server-Systemen ausgenutzt wird, allerdings verzeichne man nur ein geringe Zahl von Angriffen. Der Treiber ist Teil von Macrovisions Kopierschutzlösung SafeDisc. Macrovision hat bereits einen Patch für den Treiber zur Verfügung gestellt, der das Problem beheben soll. Microsoft will laut Fehlerbericht den Patch im Rahmen eines Patchdays über das automatische Update verteilen.

Siehe dazu auch:

    * Vulnerability in Macrovision SECDRV.SYS Driver on Windows Could Allow Elevation of Privilege, Fehlerbericht von Microsoft
    * Updating the Macrovision SECDRV.SYS Driver, Patch-Beschreibung von Macrovision

Quelle und Links : http://www.heise.de/security/news/meldung/98509/Microsoft-bestaetigt-Fehler-in-Macrovision-Treiber