Gabriel Landau von Elastic Security hat auf den Konferenzen BlueHat IL 2024 und REcon Montreal 2024 den Exploit ItsNotASecurityBoundary präsentiert. Dieser nutzt die Schwachstelle False File Immutability (FFI) aus, die auf falschen Annahmen über die Unveränderlichkeit von Dateien beruht, selbst wenn Schreibzugriffe durch den FILE_SHARE_WRITE-Parameter verweigert werden. Diese Schwachstelle betrifft sowohl traditionelle I/O-Operationen als auch speichergemappte I/O und kann sowohl Benutzer- als auch Kernelmodus-Code betreffen.
Der Exploit nutzt FFI-Annahmen im Windows Code Integrity (ci.dll) aus, um gefälschte Authentifizierungshashes einzuschleusen und so beliebige Treiber zu laden, selbst unsignierte. Ein erfolgreicher Angriff erfordert, dass der Angreifer während des Validierungs- und Parsingprozesses des Sicherheitskatalogs bösartige Authentifizierungshashes einfügt. Dies ist ein nicht-deterministischer Angriff, der mehrere Versuche erfordern kann.
Microsoft hat bereits mit einem Update (KB5036980 Preview) auf den gemeldeten Exploit reagiert, und der Fix wurde am 14. Mai 2024 für Windows 11 23H2 veröffentlicht. Trotz der Beseitigung dieser speziellen Schwachstelle bleibt die FFI-Klasse von Sicherheitslücken relevant, da sie weiterhin potenziell ausnutzbare Schwachstellen enthält. Landau betont die Bedeutung der Behebung solcher Schwachstellen, um die Sicherheit der Benutzer zu gewährleisten.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: