Benutzer von Windows 10, 11 benötigen Patch von Drittanbietern für Sicherheitslücke

Microsoft hatte viel Zeit, um eine Sicherheitslücke zu schließen. Nachdem die Schwachstelle bekannt wurde, wurde ein Patch veröffentlicht, der nachweislich nicht zu 100 Prozent erfolgreich war. Aber ein externer Sicherheitsspezialist hat eingegriffen, um einen Patch für die Sicherheitslücke in Windows 10 und 11 zu entwickeln.

Seit August bekannte Sicherheitslücke in Windows

Microsoft hat eine bestätigte Sicherheitslücke in Windows 10, 11 und älteren Versionen und ist seit August davon bekannt. Das Unternehmen schien das Problem zu beheben; Derselbe Sicherheitsforscher, der die LPE-Schwachstelle des Windows-Benutzerprofildienstes 0day entdeckte, stellte jedoch fest, dass der Patch unwirksam war. Die Zero-Day-Schwachstelle kann Hackern Zugriff gewähren und ihnen die Kontrolle über Ihr Windows-System ermöglichen.

Windows-Sicherheitslücken-Patchsystem

Der Sicherheitsforscher Abdelhamid Naceri meldete den Proof of Concept, und Microsoft veröffentlichte einen Patch. Jedoch, Naceri fand heraus, dass Hacker den Patch überstehen könnten um Systemprivilegien zu erhalten, vorausgesetzt, alle notwendigen Komponenten wurden abgedeckt. Dies führte zu einer erhöhten Eingabeaufforderung, wenn die Eingabeaufforderung zur Benutzerkontensteuerung angezeigt wird.

Will Dormann, ein CERT/CC-Schwachstellenanalyst, hat den Patch getestet und festgestellt, dass er funktioniert. Er stellte jedoch auch fest, dass die Eingabeaufforderung mit erhöhten Rechten nicht immer erstellt wurde.

Obwohl dieser Fehler definitiv eine Bedrohung für Ihr Windows-System darstellt, müssen Hacker die Anmeldedaten anderer Benutzer kennen, was bedeutet, dass er nicht jedes System betreffen kann.

Windows-Sicherheitslücken-Patch-Tastatur

Im Oktober wurde bekannt, dass der Patch von Microsoft nicht funktioniert. Doch es ist November, und ein neuer Patch wurde noch immer nicht veröffentlicht – von Microsoft.

0patch veröffentlicht einen Sicherheitspatch

0patch, ein Sicherheitsspezialist von Drittanbietern, trat ins Leere, um eine Lösung bereitzustellen. „Micropatches für diese Schwachstelle werden kostenlos sein, bis Microsoft einen offiziellen Fix veröffentlicht hat“, kündigte 0patch an.

Informationen in Naceris Writeup und POC für den Windows User Profile Service 0Day LPE wurden verwendet, um den 0patch-Mikropatch zu entwickeln.

„Obwohl diese Schwachstelle bereits ihre CVE-ID (CVE 2021-33742) hat, betrachten wir sie als ohne offiziellen Hersteller-Fix und daher als 0-Tag.“ geteilt Mitja Kolsek, Mitbegründer von 0patch. „Micropatches für diese Sicherheitsanfälligkeit sind kostenlos, bis Microsoft einen offiziellen Fix veröffentlicht hat.“

Windows-Sicherheitslücken-Patch Microsoft

Dies ist eines der wenigen Fälle, in denen es nicht hilft, mit dem neuesten Systemupdate zu arbeiten. Obwohl auch Microsofts Fix als fehlerhaft befunden wurde, ist der Fehler für ältere Systeme nicht so schädlich. Alle Versionen sind angreifbar.

„Der angreifbare Code ist anders [in older Windows versions], was die Zeitfenster für den Gewinn der Rennbedingung extrem eng und wahrscheinlich ausnutzbar macht“, sagte Kolsek

Trotzdem ist es immer eine klügere Idee, auf dem Laufenden zu bleiben. Sobald Windows einen Fix oder Patch für die Zero-Day-Schwachstelle herausgibt, sollten Sie die neueste Version verwenden.

Erfahren Sie, wie Sie Windows 11 auf Ihrem PC installieren und was Sie vor und nach der Installation tun müssen.

Ist dieser Artikel nützlich? ja Nein

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *