Sicherheitsforscher warnen vor einer aktuellen Sicherheitslücke in Windows 7 und Windows 10. Diese sogenannte, Zero-Day Lücke, betrifft den Aufgabenplaner / Taskplaner. Aktuell gibt es von Microsoft noch keinen öffentliche Patch zum schließen der Lücke. Wir zeigen mögliche Workarounds bis zur offiziellen Lösung.
Der Aufgabenplaner wird für die automatisierte Ausführung von Programmen unter Windows genutzt. Meist für die Prüfung von Aktualisierungen von Softwareprodukten, Treibern und auch Updates von Windows werden hierüber geprüft.
der Angriff über den Taskplaner
Der Angriff kann nur lokal auf dem Windowsrechner erfolgen, er ist also nicht direkt über das Internet möglich. Allerdings reicht es aus, wenn ein Angreifer eine E-Mail mit Anhang sendet. Im Anhang befindet sich dann der Schadcode. Wird der Anhang geöffnet führt sich der Schadcode aus und nutzt die Lücke im System aus. Dadurch kann der Angreifer Informationen abgreifen und Hintertüren für weitere Schadsoftware öffnen.
Die Lücke betrifft eine unzureichende Prüfung der Berechtigungen auf das Verzeichnis "C:\Windows\Tasks". Ein hier erstellter sogenannter Hardlink wird unzureichend vom Unterprozess des Aufgabenplaners geprüft sodass dieser ausgeführt wird. Dieser Link führt zu einer weiteren ausführbaren Daten, die dann für die Erweiterung der Systemrechte sorgt. Über diesen Weg kann sogar ein Gast zu Systemrechten gelangen.
Der genannte Ordner wurde unter Windows XP genutzt und ist nur noch aus Rückwärtskompatibilität vorhanden. Unter Windows 7 und Windows 10 liegt der aktiv verwendete unter "C:\Windows\System32\Tasks".
Workarounds
Bis ein offizieller Patch von Microsoft veröffentlicht wird, kann man nur folgendes machen:
- präventiv sollte sicherheitsbewußt mit E-Mails umgegangen und nicht jeder Anhang geöffnet werden
- den Dienst "Aufgabenplanung" stoppen und deaktivieren, was wir nicht empfehlen
- die Berechtigungen für den Ordner "c:\windows\tasks" so ändern, dass:
- Benutzer keine Rechte mehr besitzen, also auch nicht mehr darauf zugreifen können
- System nur noch lesend berechtigt wird
- die Änderung der Rechte kann in Unternehemen mit Active-Directory auch per Gruppenrichtlinie verteilt werden (Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien / Sicherheitsoptionen -> Dateisystem)
Aussichten
Wenn ein offizieller Patch von Microsoft veröffentlicht wurde, vermutlich am nächsten Patchday kommenden Dienstag, empfehlen wir aktuell die Änderungen rückgängig zu machen.