Microsoft hat zum 11. August 2020 eine vor zwei Jahren gemeldete Schwachstelle CVE-2020-1464 per Sicherheitsupdate beseitigt. Wurde aber auch Zeit, denn die Schwachstelle CVE-2020-1464 wurde inzwischen aktiv ausgenutzt. Eine zweite Schwachstelle CVE-2020-1571 in Windows Setup wurde ebenfalls per Update beseitigt.
Anzeige
Die Schwachstelle CVE-2020-1464
Microsoft beschreibt die Schwachstelle CVE-2020-1464 (Windows Spoofing Vulnerability) nur als Spoofing-Schwachstelle. Die Spoofing-Schwachstelle bestand darin, das Windows Dateisignaturen fälschlicherweise validiert. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzte, könnte Sicherheitsfunktionen umgehen und falsch signierte Dateien laden. Ein Update für Windows vom 11. August 2020 behebt diese Sicherheitsanfälligkeit in den unterstützten Windows-Versionen. Laut verlinktem Microsoft-Supporartikel stehen Updates für Windows 7 bis Windows 10 und die Server-Pendants bereit.
Details zur Schwachstelle CVE-2020-1464
Brian Krebs berichtet hier einige Details mehr. Die Sicherheitslücke wurde zwei Jahre lang aktiv bei Malware-Angriffen ausgenutzt, bevor Microsoft letzte Woche endlich ein Software-Update zur Behebung des Problems veröffentlichte. Das Ganze wurde von den Sicherheitsforschern Peleg Hadar und Tal Be'ery analysiert und in diesem Medium-Artikel beschrieben.
Fund einer GlueBall-Malware 2018
Im Jahr 2018 wurde ein Malware-Programm, welches als GlueBall bezeichnet wird, erstmals auf VirusTotal hochgeladen. Der Entdecker der GlueBall-Malware berichtete seinerzeit den Fund an Microsoft. Redmond war also über das Problem informiert. Die Schwachstelle bestand in der Art, wie Windows digitale Signaturen von Programmdateien behandelte.
Veröffentlichung der Schwachstelle 2019
Bernardo Quintero, der Manager von VirusTotal, veröffentlichte am 15. Januar 2019 einen Blog-Beitrag über das Problem. Man kann eine gültige MSI-Installer-Datei nehmen, die mit einer gültigen digitalen Signatur versehen ist. Dann lässt sich eine JAVA-Datei (.jar) an diese MSI-Datei anhängen. Benennt man die Dateinamenerweiterung .msi in .jar um, wird aus den beiden Dateien in der MSI-Datei ein JAR-Archiv mit einer JAVA-Anwendung. Das Fatale: Die Java-Anwendungen wird von Windows als gültig anerkannt – und noch schlimmer, die gültige digitale Signatur für die MSI-Datei wurde auf die angehängte .jar-Datei übertragen. Windows erkannte eine gültige Signatur, obwohl die Datei manipuliert war.
Anzeige
Brian Krebs schreibt, dass Bernardo Quintero angab, dass Microsoft seinerzeit entschied, diese Schwachstelle nicht zu beseitigen, während dessen Sicherheitsteam die Ergebnisse von Bernardo Quintero validierten. "Microsoft hat entschieden, dass es dieses Problem in den aktuellen Windows-Versionen nicht beheben wird, und hat zugestimmt, dass wir über diesen Fall und unsere Ergebnisse öffentlich bloggen können", schloss sein Blog-Post.
August 2020: Bug wird beseitigt
Zum 11. August 2020 hat Microsoft dann beschlossen, die Schwachstelle CVE-2020-1464 per Sicherheitsupdate für für Windows 7 bis Windows 10 und die Server-Pendants zu beseitigen.
Microsoft fixes actively exploited Windows bug reported 2 years ago – @LawrenceAbramshttps://t.co/1ZMBRVOeGx
— BleepingComputer (@BleepinComputer) August 17, 2020
Bleeping Computer weist in obigem Tweet auf diesen Sachverhalt hin und hat diesen Artikel mit weiteren Details dazu veröffentlicht.
Zweite Schwachstelle CVE-2020-1571
In Windows Setup gab es aber noch eine weitere Schwachstelle CVE-2020-1571, die eine Erhöhung der Privilegien (Privilege Escalation Bug) ermöglichte. Der nachfolgende Tweet weist darauf hin.
CVE-2020-1571 Windows Setup Elevation of Privileges bypass 0day this was just found by me about an hour ago and has been reported heres a sample of it and what it looks pic.twitter.com/ofMIM58eYE
— Peyton Gray (@PeytonGray__) August 17, 2020
Auch diese Schwachstelle wurde mit den Updates zum Patchday 11. August 2020 von Microsoft geschlossen, wie man hier nachlesen kann.
Anzeige
Eine Überraschung.
Das Sicherheitsupdate:
2020-08 – Sicherheitsqualitätsupdate für Windows 7 für x64-basierte Systeme (KB4571719), lies sich hier anstandslos installieren, ohne das ich ESU-Kunde bin.
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4571719
dann warn wohl noch reste einer mal benutzten bypass-Option vorhanden.
Kann ich nicht bestätigen, es kommt die Fehlermeldung, daß der Windows Modulinstaller (KB2533552) dafür aktualisiert werden muß. Ist er aber schon.
Mit Bypass-Optionen oder anderen Möglichkeiten das offizielle Supportende von WIN 7 hinauszuschieben, habe ich mich nicht befasst. Wenn es bei Günters Kommentarspalte einfacher wäre hätte ich einen Screenshot des aktuellen Updateverlaufes mit dem erfolgreich installierten wichtigen Sicherheitsupdate beigefügt.
Ich kann dazu nur spekulieren. Vielleicht liegt's an den Updates für den Internet Explorer die ich nach dem Supportende von Windows 7 Home Premium noch regelmäßig, wegen der guten Druck-Möglichkeiten des Browsers, machte. Diese waren komischerweise sehr groß, was mir unverständlich war. Dieser Zweit-PC mit nicht den sicherheitsrelevantesten Aufgaben, wird wohl noch einige Zeit Dienst tun.
Weiteres dazu wird sich wohl noch zeigen.
Gleich nach dem offiziellen Supportende versuchte ich damals 2-mal kostenpflichtige Updates normal zu installieren. Diese wurden auch schön installiert und zum Ende der Installation automatisch wieder rückgängig gemacht, kann ich mich erinnern. Der jetzige Anstoß des Sicherheitsupdates war wohl, mir kam in den Sinn irgendwo gelesen zu haben, das Microsoft nach Supportende noch vorher bekannt gewordene Schwachstellen des Betriebssystems als Update nachreichen würde.
Danke, jetzt verstehe ich die Funktionsweise dieser Lücke endlich. Was ein blöder Fehler.
Die zweite Lücke ist noch nicht gefixt. Microsoft's Flickwerk hält nicht, was es verspricht – wird zumindest hier behauptet: