ChromeOS Schwachstelle durch Microsoft aufgedeckt
ChromeOS Schwachstelle durch Microsoft aufgedeckt
Bildquelle: RoonzNL, Lizenz

ChromeOS: Kritische Sicherheitslücke von Microsoft aufgedeckt

Durch eine Sicherheitslücke in Googles ChromeOS ließ sich beliebiger Schadcode aus der Ferne auf Chromebooks ausführen.

Sicherheitsforscher von Microsoft deckten im April eine Sicherheitslücke in Googles ChromeOS auf, dem Betriebssystem der Chromebooks. Doch Google reagierte schnell und schloss die Lücke, durch die sich beliebiger Code aus der Ferne ausführen ließ, innerhalb weniger Tage.

Metadaten einer Audiodatei zwingen ChromeOS in die Knie

Bisher gelten Chromebooks als vergleichsweise sicher. Doch mit zunehmender Verbreitung der ChromeOS-basierten Systeme werden diese auch für Angreifer immer interessanter. Wie die Ironie des Schicksals es so will, war es ausgerechnet das Microsoft 365 Defender Research Team, das nun eine Sicherheitslücke im System aufdeckte, durch die ein potenzieller Angreifer auf einem Chromebook beliebigen Code aus der Ferne ausführen konnte.

Laut einem neuen Blog-Beitrag des findigen Microsoft-Teams, lässt sich die gefundene Speicherkorruptions-Schwachstelle mitunter durch manipulierte Metadaten einer Audiodatei im Browser auslösen. Bereits im April meldete einer der Entdecker die gefundene Schwachstelle (CVE-2022-2587) an Google. Gemäß Common Vulnerability Scoring System (CVSS) ist die Lücke mit einem Score von 9,8 als kritisch eingestuft.

Google reagierte schnell

Google hat die Lücke in ChromeOS bereits geschlossen, so dass sie in aktuellen Systemen nicht mehr ausnutzbar sein sollte. Außerdem gibt es laut den Microsoft-Forschern bislang keine Hinweise darauf, dass Angreifer die Schwachstelle tatsächlich für ihre Zwecke missbraucht haben. Google erntete für die schnelle Beseitigung des Problems innerhalb von einer Woche lobende Worte von seinen Microsoft-Kollegen. Dennoch bleibt auch Raum für eine Warnung:

„Da selbst die sichersten Betriebssysteme Sicherheitslücken enthalten können, betonen wir die Notwendigkeit einer strengen Überwachung aller plattformübergreifenden Geräte und Betriebssysteme.“

Sicherheitsforscher von Microsoft

Verwendung der strcpy-Funktion lässt Sicherheitsforscher aufhorchen

Die für die Audioverarbeitung zuständige Systemkomponente von ChromeOS greift dabei auf die strcpy-Funktion zurück. Diese Funktion ist bekannt dafür, häufig Speicherkorruptions-Schwachstellen zu provozieren. Mangels Grenzüberprüfung wird sie von Sicherheitsexperten als unsicher eingestuft.

Ausnutzen lässt sich die Lücke durch Änderung des abgespielten Songs, entweder in einem Browser oder lokal bei Wiedergabe über ein Bluetooth-Audiogerät. In beiden Fällen ruft das System durch die Änderung der Metadaten die fehlerbehaftete Systemfunktion „MediaSessionMetadataChanged“ auf.

Durch einen Heap-basierten Pufferüberlauf kann der Angreifer beispielsweise einen Funktionsrückruf überschreiben und dadurch ein unerwartetes Verhalten auslösen. Die strcpy-Funktion wird in diesem Falle also missbraucht, um Speicherbereiche zu beschreiben, die für diese Funktion eigentlich nicht vorgesehen sind. So lässt sich dort gezielt Schadcode hinterlegen, der dann wiederum durch andere Funktionsaufrufe ausgeführt wird.

Kein System ist sicher – auch nicht ChromeOS

Grundsätzlich gilt: je verbreiteter ein System ist, desto eher werden mögliche Schwachstellen aufgedeckt. Nicht weil die Systeme dadurch automatisch unsicherer sind, sondern einfach weil das Interesse von Hackern und Sicherheitsforschern umso größer ist, entsprechende Lücken zu finden. Es ist daher durchaus denkbar, dass ChromeOS mit zunehmender Verbreitung noch häufiger durch Schwachstellen auffällt.

Denn der potenzielle Schaden, der durch Ausnutzung einer Sicherheitslücke entstehen kann, wächst mit deren Verbreitung. Daher stehen gerade Windows und Android sowie häufig genutzte Webbrowser beim Thema Schwachstellen immer wieder im Fokus der Öffentlichkeit.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.