[English]ACROS Security hat einen Micropatch für ein 0-Day-Schwachstelle in Windows 7 und Server 2008 R2 (ohne ESU-Lizenz) veröffentlicht. Hier einige Informationen zu diesem Micropatch.
Anzeige
Die 0-Day-Schwachstelle
Am 12. November 2020 veröffentlichte der Sicherheitsforscher Clément Labro eine detaillierte Analyse einer lokalen Privilegieneskalations-Schwachstelle, die Windows 7 und Windows Server 2008 R2 betrifft. Auf einem typischen Windows 7- und Server 2008 R2-Rechner stellte ein vom Sicherheitsforscher geschriebenes Tool fest, dass alle lokalen Benutzer Schreibberechtigungen für zwei Registrierungsschlüssel haben:
HKLM\SYSTEM\CurrentControlSet\Dienste\Dnscache
HKLM\SYSTEM\CurrentControlSet\Dienste\RpcEptMapper
Clément und heraus, dass die Windows-Leistungsüberwachung dazu gebracht werden kann, von diesen Schlüsseln zu lesen – und eine von einem lokalen Angreifer bereitgestellte DLL zu laden. Diese DLL wird nicht als lokaler Benutzer, sondern als Lokales System geladen und ausgeführt.
Ein lokaler Standard-Benutzer kann auf dem Computer einen Leistungs-Unterschlüssel in einem der oben genannten Schlüssel erstelle. Trägt er in den Unterschlüssel einige Werten ein und löst die Leistungsüberwachung aus, führt das dazu, dass ein lokaler System WmiPrvSE.exe-Prozess die DLL des Angreifers lädt und Code davon ausführt.
Es handelt sich um eine 0-Day-Schwachstelle, für die es (zum Zeitpunkt des Verfassens dieses Artikels) noch keine offizielle Lösung gibt. Obwohl diese Windows-Plattformen im Januar dieses Jahres das Ende des Supports erreicht haben, sind die Extended Security Updates (ESU) für sie jedoch noch bis Januar 2023 verfügbar – daher sind derzeit sogar vollständig ESU-aktualisierte Rechner von diesem Problem betroffen.
Anzeige
0patch-Fix für Windows 7 SP1/Server 2008 R2
ACROS Security hat einen Micropatch für die 0-Day-Schwachstelle entwickelt. Der Entwickler Mitja Kolsek hat mich über eine private Nachricht auf diesen Tweet mit den Informationen zur Freigabe des Micropatches für Windows 7 SP1 und Windows Server 2008 R2 hingewiesen. Details zum Patch finden sich in diesem Blog-Beitrag.
(0patch Fix für die 0-Day-Schwachstelle)
Dieser Micropatch ist für alle 0patch-Benutzer mit FREE und PRO-Lizenz ab sofort verfügbar und wird bereits auf alle Online-Computer mit 0patch Agent angewendet (außer in nicht standardmäßigen Enterprise-Konfigurationen). Wie immer ist kein Neustart des Computers erforderlich und die Arbeit der Benutzer wird nicht unterbrochen. Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (z.B. hier), die ich unten verlinkt habe.
Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1062 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1300 in Windows 7/Server 2008 R2
0patch unterstützt Office 2010 nach dem Supportende mit Micropatches
Anzeige
Opatch funktioniert fast unmerkbar und tadellos im Hintergrund ohne dass Windows (7) beeinträchtigt wird. Da zahle ich gerne die paar Euro für die PRO-Version.