Sicherheitsforscher Jonas Lykkegard hat Details zu einem Bug publik gemacht, der mehrere Versionen von Windows 10 (einschließlich der aktuellen 20H2) und möglicherweise auch Server-Versionen des Betriebssystems betrifft. Der Fehler sorgt dafür, dass der Aufruf eines bestimmten Dateipfads, beispielsweise in der Adressleiste eines Webbrowsers, einen Bluescreen verursacht. Administratorrechte sind nicht erforderlich, um den Bluescreen auszulösen und den Bug etwa auch für Angriffe zu missbrauchen. Lykkegard ist derselbe Forscher, der erst kürzlich auf eine Schwachstelle hinwies, die unter Windows 10 (bislang unverändert) Angriffe auf das NTFS-Dateisystem ermöglicht. Wie schon auf die erste Schwachstelle hat Lykkegard auch auf das aktuelle Problem bereits im vergangenen Oktober öffentlich via Twitter hingewiesen, ohne dass Microsoft unmittelbar darauf reagiert hätte. Die Reaktion erfolgte erst jetzt: Auf Anfrage der IT-News-Website Bleeping Computer teilte Microsoft mit, dass man die Sicherheitsprobleme untersuche und Updates für "betroffene Geräte" so bald wie möglich bereitstellen wolle. Selbst der Wortlaut des Statements stimmt mit dem Statement zu Lykkegards erster Veröffentlichung überein: "Microsoft has a customer commitment to investigate reported security issues and we will provide updates for impacted devices as soon as possible." Bluescreen durch Pfadeingabe Windows 10 unterstützt API-Aufrufe, bei denen Software-Entwickler einen Pfad im Win32-Geräte-Namespace als Argument verwenden können, um auf direktem Wege mit Geräten wie etwa einer Festplatte zu kommunizieren. Lykkegaard ist nun aufgefallen, dass das direkte Öffnen des nachfolgenden Pfads, etwa im Browser, viele Windows-10-Systeme zum Absturz bringt (wir raten dringend davon ab, das auszuprobieren): \\.\globalroot\device\condrv\kernelconnect Der Pfad zeigt auf den Gerätenamen des "Konsolenmultiplexer-Treibers"; Lykkegaard tippt darauf, dass er für die Kernel-/Usermode-Interprozesskommunikation (IPC) verwendet wird. Details dazu, wie der Absturz zustande kommt, sind aber noch nicht bekannt. Betroffene und nicht betroffene Windows-Versionen Das Team von Bleeping Computer will den Bug auf Windows 10-Systemen von Version 1709 bis zur aktuellen 20H2 reproduziert haben. Der Autor der vorliegenden Meldung hingegen konnte den Fehler in einer virtuellen Maschine mit Windows 10 Pro Version 1709 mit älterem Patchstand nicht triggern – weder im Legacy Edge, noch im Internet Explorer 11 oder im Google Chrome 86. Der Pfad wurde jeweils als ungültig abgelehnt. Tests des Autors mit Google Chrome und Chromium Edge auf dem aktuellen Windows 10 20H2 hingegen lösten den Bluescreen zuverlässig aus. Das funktionierte auch in Remote Desktop-Sitzungen. Im Blog des Autors bestätigte ein Leser, den Bug auch unter Windows Server 2019 ausgelöst zu haben. Über soziale Netzwerke liegt dem Autor zudem ein Bericht eines Lesers vor, der den Blue Screen of Death auch unter Windows 10 1507 LTSC auslösen konnte. Der Autor dieses Beitrags hat zusätzlich auch noch einen Test unter Windows 7 SP1 mit ESU-Lizenz und aktuellem Patchstand durchgeführt. Auch hier wurde die Pfadangabe als ungültig zurückgewiesen. Angriffsmöglichkeit via Shortcut auch hier Die Möglichkeit, verwundbare Systeme zum Absturz zu bringen, könnte etwa für Denial-of-Service-Angriffe missbraucht werden. Ähnlich wie schon im Falle des NTFS-Bugs wies Lykkegard auch bei dieser zweiten Schwachstelle auf eine Angriffsmöglichkeit mittels eines speziell präparierten URL-Shortcuts (Verknüpfungen mit .url-Endung) hin. Das Prinzip dahinter: Der Angreifer erstellt einen solchen Shortcut und gibt als Pfad zum Laden des Shortcut-Icons besagten problematischen Pfad an. Im nächsten Schritt muss der Nutzer zum Herunterladen des Shortcuts bewegt werden, der beispielsweise in einem Archiv versteckt werden könnte. Sobald der Nutzer anschließend zum Speicherort des Shortcuts navigiere, versuche das System, das Icon zu laden und greife dabei auf den Pfad zu, was wiederum den BSOD auslöse. Wie schon beim NTFS-Bug besteht die beste Verteidigung gegen derartige Angriffe in einem gesunden Misstrauen und Vorsicht beim Herunterladen von Online-Inhalten.
\\.\globalroot\device\condrv\kernelconnect
