0patch fixt alle bekannten und ausnutzbaren Windows NTLM/Kerberos-Schwachstellen (Juni 2022)

Windows[English]In den letzten Monaten sind einige Schwachstellen und Angriffsmechanismen bekannt geworden, mit denen Anmeldeinformationen (NTLM/Kerberos) abgezogen werden könnten. Nicht alle Schwachstellen sind leicht ausnutzbar, nicht alles wurde durch Microsoft vollständig gepatcht. ACROS Security hat sich nun entschlossen, alle bekannten und ausnutzbaren Windows NTLM/Kerberos-Schwachstellen mittels Micropatches zu schließen. Ergänzung: Zum 1. Juli 2022 hat ACROS Security auch den DFSCoerce forced authentication issue-Mikropatch fertiggestellt, wie mir Mitja Kolsek gerade mitgeteilt hat.


Anzeige

ACROS Security, der Sicherheitsanbieter des Gründers Mitja Kolsek, ist hier im Blog ja häufiger mit seinen Micropatches erwähnt worden. Die stellen über den 0patch-Agenten kostenfreie und kostenpflichtige Micropatches bereit, die zur Laufzeit einer Anwendung in den Speicher geladen werden und dann die Schwachstellen unschädlich machen. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).

0patch: Windows NTLM/Kerberos vulnerabilities

Ich bin auf obigen Tweet von Mitja Kolsek gestoßen, wo dieser zum Thema Stellung bezieht. Aufgrund zahlreicher Kundenanfragen hat ACROS Security sich entschlossen, alle bekannten ausnutzbaren Probleme bei der Weitergabe von Anmeldeinformationen (NTLM/Kerberos) in Windows zu beheben. Das gilt selbst für Fälle, in denen der Angreifer Anmeldeinformationen mit niedrigen Privilegien benötigt (was in jedem größeren Netzwerk anzunehmen ist). Auf Twitter gibt Kolsek dann einen Überblick über den aktuellen Stand.

0patch: Print Spooler bug patched


Anzeige

So wird ein Bug im Print Spooler, der eine Privilege Escalation ermöglicht, mit einem Micropatch geschlossen. Weiterere Micropatches adressieren folgende Schwachstellen:

Aktuell arbeitet man an einem Micropatch für die "DFSCoerce" 0day-Schwachstelle (auf Twitter und Github beschrieben). Microsofts Code prüft korrekt, ob der Benutzer Zugriff hat, initiiert aber trotzdem die Authentifizierung mit dem Server des Angreifers.

Ähnliche Artikel:
Follina: Angriff über Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)
Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe
0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows
Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU/US und andere Ziele
Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)

Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows 10: 0patch-Fix für MSHTML-Schwachstelle (CVE-2021-40444)
0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service
0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
0patch fixt ms-officecmd RCE-Schwachstelle in Windows
0patch fixt RemotePotato0-Schwachstelle in Windows
0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10/Server 2019
0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows
Windows MSDT 0-day-Schwachstelle "DogWalk" erhält 0patch-Fix


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu 0patch fixt alle bekannten und ausnutzbaren Windows NTLM/Kerberos-Schwachstellen (Juni 2022)

  1. McAlex777 sagt:

    Kann man einem Dienst wie 0patch als Unternehmen vertrauen?
    Wie ist da eure Einschätzung?

  2. Andy sagt:

    Faszinierend, dass 0patch das hinkriegt, Microsoft aber nicht.

    • Gandhi sagt:

      Faszinierend finde ich das nicht mehr. Eher traurig.
      Nur weil es die Wabbler von WinzigWeich nicht interressiert/können/wollen die Löcher in absehbarer Zeit zu stopfen. Daher muss das eine andere Firma übernehmen/machen.

      Was WinzigWeich in letzter Zeit so Monatlich abgeliefert hat, dass grenz eh schon an Fahrlässigkeit. Mehr Kaputt machen wie reparieren.

    • Günter Born sagt:

      Wenn ich es richtig einsortiere, sind es halt fundamental zwei unterschiedliche Ansätze. Microsoft entwickelt Patches, die die Schwachstellen im Code ausbügelt und dann auf dem Zielsystem – mit allen Konsequenzen – installiert werden müssen.

      0patch nutzt einen Agenten, der zur Laufzeit eines Programms im Speicher die entsprechenden Code-Stelle per Micropatch so ausbügelt, dass die Sicherheitslücke nicht ausnutzbar ist. Wird der Micropatch zurückgezogen oder deaktiviert, oder der Agent abgeschaltet, ist wieder der Ursprungszustand gegeben. Es wird ja nichts am System geändert – das hat schon Vorteile.

      Zur obigen Frage, ob man ACROS Security vertrauen kann: Muss sich jeder selbst beantworten. Nur deren Geschäftsmodell basiert darauf, dass die Leute vertrauen – im Prinzip muss man das ja jeder Software, die man auf dem System einsetzt. Ich finde auf jeden Fall den Ansatz interessant – und Mitja Kolsek ist da mit seinem Team schon sehr gut drin, Schwachstellen zu analysieren und zu patchen. Die Firma sitzt übrigens in Slowenien und ist seit über einem Jahrzehnt existent.

      • Andy sagt:

        Ich meinte auch direkt die Art der Patche. Bei den Microcode-Updates können sie es ja auch.
        Der damalige EMET-Ansatz von Microsoft hätte hierhin entwickelt werden können.
        Stattdessen.. nichts.

  3. Bernd B. sagt:

    Ich nutzte 0patch so lange ich Win7 nutzte.
    Aber das ist ja nun heute wirklich immer mehr auf dem Rückzug.

    Was nützt 0patch aber dem gemeinen User/Firma, die ja für gewöhnlich Win10+ haben? Laut ihrer Preisliste¹ unterstützen sie selbst in der Enterpriseversion nur
    – Windows 7
    – Windows Server 2008 R2
    – Microsoft Office 2010

    ¹ https://0patch.com/pricing.html

    • Bernd Bachmann sagt:

      Da steht "includes", nicht "limited to" oder so. Zugegeben, ist missverständlich. Wenn Du mal bei einem Patch tiefer einsteigst, siehst Du, dass der durchaus auch für andere Windows-Versionen passt, z.B. hier
      https://blog.0patch.com/2022/06/free-micropatches-for-follina-microsoft.html

      (Disclaimer: Ich habe nichts mit 0path zu tun und nutze es selbst nicht. Finde die Idee aber gut.)

      • Bernd B. sagt:

        😮
        Ja, stimmt, in den Patches werden höhere Win/Office-Versionen genannt. Dann habe ich jetzt nur aus 'Dummheit' (nicht gut genug recherchiert) fast 1 Jahr auf 0patch verzichtet… :/

        Danke!

        • Günter Born sagt:

          Einfach die letzten verlinkten Blog-Beiträge von mir überfliegen – ich bin da ja recht nahe dran, weil ich von Mitja Kolsek informiert werde, wenn sich was tut. Die haben im letzten Jahr einiges (bis hoch zu Win 11/Server 2022) ausgebügelt, was bei MS als 0-day offen war oder nicht geschlossen wurde.

          • Bernd B. sagt:

            Bin noch nicht sooo lange bei Ihnen, heute war der erste 0patch-Beitrag, den ich wahrnahm.

            Aber wenn Sie Kontakt haben weisen Sie doch bitte mal auf die missverständliche Preisliste hin. In Anlehnung an andere Anbieter könnte man z.B. bei Free die OSe/Office aufführen und dann bei Paid das klassische "alles, was Free hat und zusätzlich…" angeben.
            Oder einen Link auf eine Liste der unterstützten Versionen.

        • Michael sagt:

          Wenn man einen 0patch Account hat, egal ob free oder pro, kann man 0patch für alle installierten Windows Versionen nutzen.

          Bei mir für z.B. Windows 7 und Windows 10.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.