[English]Kleiner Hinweis für Administratoren großer Windows-Umgebungen im Active Directory-Umfeld, die die 0-day-Schwachstelle ADV200006 stopfen müssen. Eine Abschwächung (Mitigation) ist mittels Gruppenrichtlinien möglich.
Anzeige
Die Windows 0-day-Schwachstelle ADV200006
In allen unterstützten Windows-Versionen gibt es eine zwei ungepatchte Schwachstellen in der Adobe Type 1 Manager Library. Beide Schwachstellen ermöglichen eine Remote-Codeausführung, weil die Windows Adobe Type Manager Library eine speziell entwickelte Multi-Master-Schriftart – das Adobe Type 1 PostScript-Format – nicht korrekt verarbeitet. Ein Angreifer kann die Sicherheitslücke ausnutzen, wenn er z. B. einen Benutzer dazu bringt, ein speziell gestaltetes Dokument zu öffnen oder es im Windows-Vorschaufenster anzuzeigen.
Die Information findet sich in ADV200006, betroffen sind alle Windows-Versionen, von Windows 7 SP1 über Windows 8.1 bis hin zu Windows 10 – und natürlich alle Server-Pendants. Auf Systemen mit Windows 10 kann ein erfolgreicher Angriff nur in einem AppContainer-Sandbox-Kontext stattfinden und ermöglicht somit nur begrenzte Berechtigungen und Fähigkeiten zur Ausführung von Code. Hacker versuchen inzwischen diese Schwachstelle auszunutzen. Microsoft ist sich dieser Schwachstelle bewusst und arbeitet an einer Lösung, hat bisher aber keinen Patch vorgelegt. Ich erwarte diese zum regulären Patchday, am 14. April 2020.
Schwachstellen per GPO abschwächen
Von Microsoft gibt es für ältere Betriebssysteme wie Windows 7 SP1 und Windows 8.1 sowie deren Server-Pendants Workarounds, um die Ausnutzbarkeit der Schwachstelle zu verhindern. Microsoft hat diese Workarounds in ADV200006 veröffentlicht. In größeren Firmenumgebungen sind diese Ansätze aber nicht gangbar.
FYI, i created a blog post which describes how to mitigate this in a large AD environment using GPOs – here is post link: https://t.co/BtVt3ejZvw #ActiveDirectory #GPO #ADV200006 pic.twitter.com/kUUVIlEW4m
— Sylvain Cortes (@sylvaincortes) March 29, 2020
Anzeige
Microsoft MVP Sylvain Cortes hat einen Blog-Beitrag veröffentlicht, wie man mittels Gruppenrichtlinien die Ausnutzbarkeit der betreffenden Schwachstellen erschweren oder verhindern kann. Dazu gehört das Abschalten der Vorschau im Windows-Explorer, sowie die Deaktivierung des WebClient – beides Maßnahmen, die auch von Microsoft in ADV200006 vorgeschlagen werden. Details finden sich im entsprechenden Blog-Beitrag.
Ähnliche Artikel:
0-Day-Schwachstelle in Windows Adobe Type Library
Microsoft aktualisiert ADV200006 (Type 1 Font Parsing RCE)
0patch fixt 0-day Adobe Type Library bug in Windows 7
Anzeige
Ich hab jetzt auf eine schlauere Abhilfe gehofft, als das da. Wenn ich unseren Benutzern die Dateivorschau wegneheme, kann ich mich nicht mehr in der Kantine blicken lassen, wo ich allen über den Weg laufen würde. Ach, nee, die Kantine ist ja momentan zu, na dann kann ich das … klick klick … click … … … … warum rennen mir die Leute gerade die Bürotür ein … aua … aua… hiiiiillllfe… jaja ist ja gut ich mach das sofort rückgängig …
Welche abhilfe hast du per GPO umgesetzt? Wenn ich fragen darf..
Apropos, gibt jetzt Test-Exploits für die SMB-V3-Kompressionslücke, funzt wirklich, eben in einer ungepatchten VM getestet… Der eine macht Bluescreen übers Netzwerk, der andere öffnet eine Eingabeaufforderung mit SYSTEM Kontext…
https://www.kitploit.com/2020/03/cve-2020-0796-cve-2020-0796-pre-auth-poc.html
https://www.kitploit.com/2020/03/cve-2020-0796-windows-smbv3-lpe-exploit.html
Nett, net?
Man muss allerdings Defender davon überzeugen, dass er die Files nicht in Karantäne schickt, der kennt die Bösewichte nämlich schon. Auch Firefox macht erstmal Downloadverweigerung.