Sicherheitskritischer Notepad-Bug öffnet Windows-Shell

Ein Forscher von Googles Project Zero hat einen Weg gefunden, aus notepad.exe heraus eine Shell zu öffnen. Nun hat Microsoft 90 Tage Zeit zum Patchen.

In Pocket speichern vorlesen Druckansicht 195 Kommentare lesen
Sicherheitskritischer Notepad-Bug öffnet Windows-Shell

(Bild: Tavis Ormandy / Twitter)

Lesezeit: 3 Min.
Von
  • Günter Born

Im Windows-Editor Notepad steckt ein bis vor kurzem unentdeckter Bug, der zum Öffnen einer Shell-Instanz (cmd.exe) und damit möglicherweise für Angriffe auf das Betriebssystem ausgenutzt werden könnte.

Schwachstellenjäger Tavis Ormandy von Googles Project Zero hat den Fehler entdeckt. In einer Meldung auf Twitter dokumentiert er mittels eines Taskmanager-Screenshots, dass er den Windows-eigenen Editor Notepad dazu brachte, einen untergeordneten Shell-Prozess zu öffnen. Er kommentiert den Screenshot mit der Frage "Am I the first person to pop a shell in notepad?" und bekräftigt, dass es sich "um einen echten Bug" handle.

Das Öffnen einer Shell ist ein in Security-Kreisen üblicher Beweis dafür, dass es einem Angreifer möglich ist, ein beliebiges, externes Programm zu starten, das dem Angreifer die Kontrolle über das System verleihen könnte. Das allein genügt oft schon, um beträchtlichen Schaden anzurichten. Oft bildet es auch die Grundlage dafür, in einem zweiten Schritt die Privilegien zu erhöhen und etwa über so genannte UAC-Bypassing-Techniken oder Local-Privilege-Escalation Administrator-Rechte zu erlangen.

In einem weiteren Tweet konkretisiert Ormandy, dass er zum Öffnen von cmd.exe einen Speicherfehler ausgenutzt habe ("Memory corruption exploit"). Unklar bleibt vorerst, seit wann der Bug bereits im Notepad-Code existiert und wie leicht er sich in der Praxis (etwa mittels manipulierter Textdateien) tatsächlich ausnutzen lässt. Weiterhin bleibt offen, ob Angriffsmöglichkeiten aus der Ferne vorhanden sind und ob auch die Möglichkeit der Ausführung anderen (beliebigen) Codes aus dem Kontext von notepad.exe besteht.

Ormandy schreibt, er habe den Bug nach der Entdeckung an das Microsoft Security Response Center (MSRC) gemeldet und wolle dem Unternehmen die üblichen 90 Tage Zeit gewähren, den Fehler zu beheben. Erst wenn ein Patch vorliegt (oder wenn die 90 Tage abgelaufen sind), will er Details zum Bug in einem Blog-Beitrag veröffentlichen.

Ormandys im Tweet gestellte Frage muss allerdings verneint werden. Chaouki Bekrar, der Gründer des Unternehmens Zerodium, das Zero-Day-Schwachstellen aufkauft, ließ via Twitter verlauten, dass es in der Vergangenheit durchaus schon Hacks des Windows-Editors Notepad gegeben habe. Nur wären diese Exploits nicht öffentlich oder an Microsoft gemeldet worden.

Trotzdem zeigen sich Sicherheitsforscher beeindruckt, dass es einen solchen Exploit gibt. Dan Kaminsky von der IT-Sicherheitsfirma White Ops merkte an, dass die Angriffsfläche des Windows-Editors sehr klein und es daher erstaunlich sei, dass einem Angreifer die Codeausführung gelingen könne.

Update 04.06.19, 15:45: Einschätzung zum Gefahrenpotenzial der Lücke im dritten Absatz korrigiert. (ovw)