Neue Zero-day Schwachstelle in Desktop Window Manager beobachtet

Anfang Februar 2021 warnte Microsoft vor einer Sicherheitslücke im Desktop Window Manager. Es wurde nun durch Kaspersky bekannt gegeben, dass ein weiterer Zero-Day-Exploit im Rahmen einer Analyse der ersten Schwachstelle beobachtet wurde. Es handelt sich also damit um einen bisher unbekannten Software-Bug. Bis sie entdeckt werden, können Angreifer sie ausnutzen und großen Schaden anrichten.

Die Sicherheitslücke trägt die Bezeichnung CVE-2021-28310.

CVE-2021-28310 ist eine Out-of-Bounds (OOB)-Schreibschwachstelle in dwmcore.dll, die Teil von Desktop Window Manager (dwm.exe) ist. Aufgrund der fehlenden Prüfung sind Angreifer in der Lage, eine Situation zu schaffen, die es ihnen ermöglicht, kontrollierte Daten an einem kontrollierten Offset mit der DirectComposition-API zu schreiben. DirectComposition ist eine Windows-Komponente, die in Windows 8 eingeführt wurde, um die Komposition von Bitmaps mit Transformationen, Effekten und Animationen für unterschiedliche Quellen (GDI, DirectX, etc.) zu ermöglichen. DirectComposition API wird durch den win32kbase.sys-Treiber implementiert. Die Namen aller zugehörigen Syscalls beginnen mit der Zeichenkette "NtDComposition".

Laut Kaspersky-Forschern handelt es sich bei dem Bug um einen so genannten EoP-Exploit (Escalation of Privilege), der es Angreifern ermöglicht, beliebigen Code auf dem betroffenen PC auszuführen. Kaspersky vermutet, dass der Exploit zusammen mit anderen Browser-Exploits genutzt wird, "um der Erkennung innerhalb einer Sandbox zu entgehen und Systemprivilegien für weitere Zugriffe zu erhalten." Im CSOC kann der Exploit durch eine Exploit Prevention-Technologie identifiziert werden. Zusätzlich wird ein Event ausgelöst, wenn die EXE-Datei dwm.exe ausgeführt wurde.

Quelle: https://securelist.com/zero-day-vulnerability-in-desktop-window-manager-cve-2021-28310-used-in-the-wild/101898/

Am Dienstag, den 13. April 2021, um 19 Uhr MESZ hat Microsoft im Rahmen seines Patchdays auch Updates für Exchange Server veröffentlicht [MIC2021a], die jene Schwachstellen schließen, die Tätern die Möglichkeit bieten, aus der Ferne Codes auf dem Server auszuführen. Wir empfehlen Ihnen, alle verfügbaren Patches zu installieren, um sich vor Bedrohungen zu schützen.

Quelle: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-207541-1032.pdf?__blob=publicationFile&v=2