Ein Forscher von Googles Project Zero hat einen Weg gefunden, aus notepad.exe heraus eine Shell zu öffnen. Nun hat Microsoft 90 Tage Zeit zum Patchen.

Im Windows-Editor Notepad steckt ein bis vor kurzem unentdeckter Bug, der zum Öffnen einer Shell-Instanz (cmd.exe) und damit möglicherweise für Angriffe auf das Betriebssystem ausgenutzt werden könnte.

Schwachstellenjäger Tavis Ormandy von Googles Project Zero hat den Fehler entdeckt. In einer Meldung auf Twitter dokumentiert er mittels eines Taskmanager-Screenshots, dass er den Windows-eigenen Editor Notepad dazu brachte, einen untergeordneten Shell-Prozess zu öffnen. Er kommentiert den Screenshot mit der Frage „Am I the first person to pop a shell in notepad?“ und bekräftigt, dass es sich „um einen echten Bug“ handle.

Das Öffnen einer Shell kann zur Bedrohung werden, wenn es einem Angreifer gelingt, seine Privilegien im Kontext von notepad.exe zu erweitern. Mit Admin-Rechten könnte er beispielsweise versuchen, mittels so genannter UAC-Bypassing-Techniken die Benutzerkontensteuerung zu umgehen.

In einem weiteren Tweet konkretisiert Ormandy, dass er zum Öffnen von cmd.exe einen Speicherfehler ausgenutzt habe („Memory corruption exploit“). Unklar bleibt vorerst, seit wann der Bug bereits im Notepad-Code existiert und wie leicht er sich in der Praxis (etwa mittels manipulierter Textdateien) tatsächlich ausnutzen lässt. Weiterhin bleibt offen, ob Angriffsmöglichkeiten aus der Ferne vorhanden sind und ob auch die Möglichkeit der Ausführung anderen (beliebigen) Codes aus dem Kontext von notepad.exe besteht.

Ormandy schreibt, er habe den Bug nach der Entdeckung an das Microsoft Security Response Center (MSRC) gemeldet und wolle dem Unternehmen die üblichen 90 Tage Zeit gewähren, den Fehler zu beheben. Erst wenn ein Patch vorliegt (oder wenn die 90 Tage abgelaufen sind), will er Details zum Bug in einem Blog-Beitrag veröffentlichen.

Ormandys im Tweet gestellte Frage muss allerdings verneint werden. Chaouki Bekrar, der Gründer des Unternehmens Zerodium, das Zero-Day-Schwachstellen aufkauft, ließ via Twitter verlauten, dass es in der Vergangenheit durchaus schon Hacks des Windows-Editors Notepad gegeben habe. Nur wären diese Exploits nicht öffentlich oder an Microsoft gemeldet worden.

Trotzdem zeigen sich Sicherheitsforscher beeindruckt, dass es einen solchen Exploit gibt. Dan Kaminsky von der IT-Sicherheitsfirma White Ops merkte an, dass die Angriffsfläche des Windows-Editors sehr klein und es daher erstaunlich sei, dass einem Angreifer die Codeausführung gelingen könne.