Was sind die Konsequenzen der NTFS-Schwachstelle?

Im Frühjahr 2018 hat ein Sicherheitsforscher den Code für einen Proof-of-Concept für einen von ihm entdeckten neuen Bug in NTFS (New Technology File System) veröffentlicht. Obwohl das Unternehmen bereits seit Monaten über den NTFS-Fehler informiert war, hat sich Microsoft entschieden, ihn bislang nicht zu patchen. Woran liegt das und warum stuft der Hersteller diese Schwachstelle als weniger wichtig ein?

Jeder Windows-Nutzer fürchtet sich vor einem Bluescreen of Death (BoD). Diesen zeigt Windows an, wenn das System einen fatalen Fehler erlitten hat. Eine Schwachstelle, die ein System automatisch zum Absturz bringen kann, wenn Autoplay aktiviert ist, sollte also eigentlich so schnell wie möglich repariert werden. Zumindest glaubte dies Marius Tivadar, ein leitender Manager beim Cyber Threat Intelligence Lab von Bitdefender, als er Microsoft über eine von ihm entdeckte Schwachstelle in NTFS im Juli 2017 informierte.

Wie Tivadar herausfand, kann ein manipuliertes NTFS-Image Rechner mit den Betriebssystemen Windows 7, 8.1, 10 und Server 2012 R2 innerhalb von Augenblicken zum Absturz bringen. Durch das Kopieren des Images auf einen USB-Stick und das Anstecken an einen PC kann ein BoD ausgelöst werden, da auf den meisten Computern Autoplay per Default aktiviert ist. Der Absturz tritt sogar auf, wenn das Betriebssystem gesperrt ist.

Selbst wenn Autoplay deaktiviert ist, aber zum Beispiel ein Virenscanner auf dem Rechner oder eine andere Software versucht, auf den USB-Stick zuzugreifen, stürzt Windows ab. Frustriert über den Mangel an Bereitschaft, sich um das Problem zu kümmern, veröffentlichte Tivadar mittlerweile einen Proof-of-Concept (PoC) sowie ein damit manipuliertes USB-Image bei GitHub.

Die Schwachstelle in NTFS liegt in der Funktion NtfsFindExistingLcb(). Sie prüft nicht, ob ein Pointer aus dem File Control Block nicht Null beträgt, bevor sie ihn nutzt. Dabei handelt es sich um eine Dateisystemstruktur, die zur Kontrolle des Zustands einer Datei verwendet wird. Durch ein paar Änderungen an einem NTFS-Image ist es möglich, die Schwachstelle auszunutzen und das System zum Absturz zu bringen. Aber warum hat Microsoft diesen Fehler nicht repariert oder ihm nicht zumindest eine CVE-Nummer (Common Vulnerabilities and Exposures) zugewiesen?

Laut der CVE-Webseite ist eine sicherheitsrelevante Schwachstelle ein Fehler in einer Software, die durch einen Hacker direkt genutzt werden kann, um Zugriff auf ein System oder ein Netzwerk zu erhalten. Gemeldeten Schwachstellen wird außerdem ein Score zugewiesen, damit es betroffenen Anwendern leichter fällt, ihre Maßnahmen gegen mehrere Sicherheitslücken zu priorisieren. Das gilt auch für das Einspielen von Patches oder andere Schritte, die abhängig von der Gefahrenstufe ausgeführt werden können. Diese Scores werden auf Basis einer Formel berechnet, die von verschiedenen Werten ausgeht, die bestimmen sollen, wie leicht sich eine Lücke ausnutzen lässt und welche Schäden dadurch entstehen können.

Wie viele andere Software-Anbieter auch hat Microsoft ein eigenes System zur Einstufung des Risikos für gefundene Sicherheitslücken. Das Unternehmen hat sogar ein eigenes Klassifizierungssystem namens Security Bug Bar entwickelt, das von den internen Produkt- und Online-Teams des Herstellers genutzt wird.

Wie auch ein Admin in einem Unternehmen muss Microsoft die dem Hersteller zur Verfügung stehenden Ressourcen jedoch ebenfalls priorisieren und sich um die gefundenen Sicherheitslücken je nach ihrem Schweregrad kümmern. Ein Angriff, der physischen Zugriff auf ein System erfordert, wie der von Tivadar entdeckte, wird deswegen als weit weniger kritisch eingeschätzt als eine Attacke, die automatisiert aus der Ferne ausgeführt werden kann.

Wenn man sich mit den Vorgaben der Microsoft Security Bug Bar und mit der CVE-Definition beschäftigt, fällt es leichter zu verstehen, warum das Unternehmen der Sicherheitslücke in NTFS bislang keine CVE-Nummer zugewiesen hat. Der Angriffsvektor dieses Bugs erfordert entweder physischen Zugriff auf einen Computer oder Social Engineering, um ausgeführt werden zu können. Das bedeutet, dass er nicht die Anforderungen von Microsoft erfüllt, um sofort einen Sicherheits-Patch zu rechtfertigen.

Nachdem der PoC jedoch nun öffentlich ist, können Hacker versuchen, den Code in ihre Malware zu integrieren, um einen Crash auszulösen. Aber auch dann müssen sie sich erst etwas einfallen lassen, um den Absturz in irgendeiner Form auszunutzen. Ansonsten lösen sie nur einen Denial of Service (DoS) aus.

Einen Punkt, den Microsoft aber hoffentlich in Zukunft ändern wird, ist die unerwünschte Ausführung von Code, wenn ein externes Medium mit einem Computer verbunden wird, der eigentlich gerade gesperrt ist.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!