Microsoft Logo

Wie es scheint gebührt Microsoft  die Ehre für die älteste noch immer intakte Sicherheitslücke in der Computergeschichte. Zumindest, wenn man den Nutzer als außer Acht läßt.

Die Virtual DOS Machine VDM, 1993 eingeführt um 16-bit Anwendungen im 32-bittigen Windows zu unterstützen, verläßt sich auch auf BIOS calls. Diese Implementierung ermöglicht Nutzern sich mit  16-bittigen programmen Root-Privilegien zu erschleichen, indem der „Kernel Stack“ eines jeden Prozesses manipuliert werden kann.

Ein Exploit existiert bereits und wurde von einem Google-Mitarbeiter (Tavis Ormandy) erfolgreich eingesetzt, ein Command-Prompt mit Root-Zugang wurde geöffnet – in praktisch allen 32bit Windows OS Windows XP, Windows Server 2003 and 2008, Windows Vista and Windows 7″.

Da es noch kein Sicherheitspatch dazu gibt muß man wohl händisch das MS-DOS Subsystem deaktivieren.

Dazu auf den Gruppenrichtlinien-Editor gehen und das Ausführen von 16-bit Anwendungen unterbinden „Configuration\Administrative Templates\Windows Components\Application Compatibility“

Falls kein Editor verfügbar im Registry-Editor einen Registry Key anlegen http://www.h-online.com/security/news/item/Windows-hole-discovered-after-17-years-Update-908917.html

D-Word Value= VDMDissallowed = 1

oder selber einen .reg Eintrag eintragen zum Ausführen bauen:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

„VDMDisallowed“=dword:00000001

Die Textdatei sichern als vdmdisallow.reg bspw. und ausführen.

Hier gibts das nochmal in englisch vom Google-Mitarbeiteer Ormandy.

Das beste ist, Ormandy hat Microsoft bereits im Juni 2009 darauf aufmerksam gemacht, ohne das ein Patch dazu erschienen.

Da frag man sich ob der Hack eine Rolle im chinesischen Angriff auf Google und die anderen gespielt hat.