Windows-Nutzer sollten sicherstellen, dass sie die aktuellen Sicherheitspatches für das Betriebssystem installiert haben. Ein Sicherheitsforscher hat nun Proof-of-Concept-Code veröffentlicht und beschreibt in einem Beitrag, wie Angreifer aus der Ferne theoretisch eigenen Code auf verwundbaren Computern starten könnten. Ist Proof-of-Concept-Code im Umlauf, sind Exploits oft nicht fern. Davon sind Nutzer von Windows 10 und verschiedenen Windows-Server-Versionen betroffen.

Es handelt sich um die Schwachstelle mit der Kennung CVE-2018-8495 in Windows Shell – die Lücke gilt nicht als kritisch. Im Kern kommt es zu einem Fehler beim Umgang mit Uniform Resource Identifier (URI). Darüber kann man beispielsweise über den Aufruf einer URL aus einem Browser heraus einen Mailclient starten.

Opfer muss mitspielen

In seinem Beispiel präsentiert der Sicherheitsforscher ein vergleichsweise simples Skript, über das er aus Edge heraus den Windows-Rechner startet. Das klappt aber nur, wenn ein Opfer mitspielt: Ein Angreifer müsste es auf eine mit dem Skript präparierte Webseite locken und zusätzlich dazu bringen, die Enter-Taste zu drücken. Erst dann ist es vorstellbar, dass ein Angreifer eigenen Code mit den Rechten des Opfers ausführen kann. Im Beitrag des Sicherheitsforschers finden sich noch weitere Details zum erfolgreichen Ausnutzen der Lücke.

Microsoft hat die Schwachstelle am Patchday im Oktober geschlossen. Zu diesem Zeitpunkt stufte Microsoft den von der Lücke ausgehenden Bedrohungsgrad mit "mittel" (CVSS Version 3 Base Score 4.2) ein. Einem Eintrag der Zero Day Initiative von Trend Micro zufolge, hat es nun eine Anpassung auf CVSS Version 2 Base Score 6.8 gegeben – der Bedrohungsgrad verbleibt knapp bei "mittel". (des)