[English]Gibt es eventuell Probleme im Zusammenhang mit dem letzten Patchday (Januar 2020), bei dem ja die Datei Crypt32.dll gepatcht wurde. Ein Leser hat mir eine entsprechende Frage geschickt, wobei McAfee und der SCCM in seiner Umgebung werkeln. Aktuell scheint der McAfee den Zugriff des SCCM-Agenten smsexec.exe auf eine RSA-Schlüssel zu blockieren.
Anzeige
Hintergrund: Die NSA-Schwachstelle CVE-2020-0601
Zum Januar 2020-Patchday wurde ja die von der NSA entdeckte und an Microsoft gemeldete Schwachstelle CVE-2020-0601 öffentlich. Zur Erinnerung: In der Bibliothek Crypt32.dll (CryptoAPI) gibt es eine 'Spoofing-Schwachstelle' CVE-2020-0601, die von Angreifern ausgenutzt werden könnte. Ein Angreifer hätte die Möglichkeit, ein gefälschtes Code-Signatur-Zertifikat zum Signieren einer bösartigen ausführbaren Datei zu verwenden, ohne das Windows das merkt.
Ein erfolgreicher Exploit könnte es dem Angreifer auch ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und vertrauliche Informationen über Benutzerverbindungen zu der betroffenen Software zu entschlüsseln. Ich hatte im Blog-Beitrag Windows: Kommt heute ein kritischer Kryptografie-Patch? sowie im Beitrag Windows: Neues zur NSA-Schwachstelle CVE-2020-0601 über den Sachverhalt berichtet. Microsoft hat zudem am 14.1.2020 diesen Blog-Beitrag veröffentlicht.
Microsoft gibt an, dass Windows 10, Windows Server 2016 und 2019 betroffen sind und hat entsprechende cumulative Updates zum Schließen der Schwachstelle bereitgestellt (siehe CVE-2020-0601 und meinen Blog-Beitrag Patchday Windows 10-Updates (14. Januar 2020)).
Leserfrage zu Problemen
Heute ist mir von Blog-Leser Patrick D. eine Info zugegangen, in der er nachfragt, ob mir Probleme im Zusammenhang mit der gepatchten Crypt32.dl bekannt seien. Ich stelle seine Informationen mal hier im Blog ein – vielleicht ist ja noch jemand betroffen und kann das bestätigen.
Anzeige
Mir fiel nach den Patchday heute morgen folgendes im Zusammenspiel mit SCCM und McAfee auf.
Event ID McAfee Endpoint Security from EventID=18060
NT AUTHORITY\SYSTEM ran smsexec.exe, which tried to access C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\
b173a4ca6eeb3a8529b5390fef6b81be_abb57870-155d-4625-9eb2-c73c0e888e7d, violating the rule "Malware Behavior : Windows EFS abuse", and was blocked. For information about how to respond to this event, see KB85494. was raised.
Event Descritpion:
EventID=18060Wenn man sich dann das File anschaut ist es ein Self Signed "SMS User Service" Zertifikat. Da gerade ja die Crypt32.dll gepatched wurde, könnte die schon daher rühren. Das Cert selbst ist noch valide.
Des weiteren tritt dasselbe bei einer weiteren Software auf.
Gab es bei ihnen schon Meldungen? Wir werden es jedenfalls an den Premiersupport&McAfee eskalieren.
Ich selbst habe sonst noch nichts dergleichen vernommen und das Web kennt auch noch nichts. Aber es schaut so aus, als ob der Agent smsexec.exe (SCCM Microsoft SMS Agent Host service) von McAfee am Zugriff auf ein Zertifikat gehindert wird. Irgend jemand, der die Konstellation SCCM und gepatchte Windows 10/Server-Systeme mit McAfee-Unternehmenslösungen einsetzt, und das verifizieren kann?
Anzeige
Hallo,
gleicher Fehler ist bei uns in der Umgebung auch zu verzeichnen. Kombination SCCM und McAfee. Das Event wird stündlich ausgelöst.
"NT-AUTORITÄT\SYSTEM hat D:\SMS\bin\X64\smsexec.exe ausgeführt. Dieser Prozess hat versucht, auf C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\
cd392c7f36e7442b875ded4f79ca2643_bc44bea8-fb85-4eb8-b254-62e6f2c02f2e zuzugreifen, hat damit die Regel "Malware Behavior : Windows EFS abuse" verletzt und wurde daher blockiert."
Ich habe auch im englischsprachigen Blog eine Bestätigung des Fehlers erhalten.
McAfee has now produced guidance on this, entitled "EXPLOIT PREVENTION
SIGNATURE 6148 – FALSE POSITIVE MITGATION FOR NON-STANDARD INSTALL PATHS".
The simplest way to resolve is to enable an Exclusion within the relevant McAfee Exploit Prevention policy (or policies), containing the path of SMSEXEC.EXE (and optional MD5 hash).
Exchange Server 2019 auf Windows Server 2019 bringt einen Fehler, wenn man ein neues Zertifikat (New-ExchangeCertificate) erstellen oder aktivieren (Enable-ExchangeCertificate) will.
A special Rpc error occurs on server : Could not grant Network Service access to the certificate with thumbprint XXX because a cryptographic exception was thrown. InvalidOperationException
Liegt auch daran, dass McAfee den Zugriff blockiert. Fügt man den Prozeß als Ausnahme beim Exploit-Schutz hinzu wie Matt bereits schrieb (McAfee-Beitrag) geht's wieder.
Log Name: Application
Source: McAfee Endpoint Security
Event ID: 3
Task Category: None
Level: Error
Keywords: Classic
User: SYSTEM
Description:
EventID=18060
NT AUTHORITY\SYSTEM hat E:\Exchange Server\Bin\Microsoft.Exchange.ServiceHost.exe ausgeführt. Dieser Prozess hat versucht, auf C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\xxx zuzugreifen, hat damit die Regel "Malware Behavior : Windows EFS abuse" verletzt und wurde daher blockiert. In KB85494 wird erläutert, wie Sie auf dieses Ereignis reagieren können.
Hi,
vorhin kam auch die Rückmeldung vom Support:
https://kc.mcafee.com/corporate/index?page=content&id=KB92350
Gruß Patrick