0day-Patch für CVE-2018-8174 von 0patch verfügbar

Kleine Info für Administratoren in Firmenumgebungen. Der Anbieter 0patch stellt einen 0day-Patch für die kritische Sicherheitslücke CVE-2018-8174 (Windows VBScript Engine) bereit. Hilfreich für diejenigen von euch, die die Mai 2018-Updates wegen Problemen mit dem Netzwerk nicht installieren können.


Anzeige

Worum geht es bei CVE-2018-8174?

In Windows gibt es eine kritische Remote Code Execution-Sicherheitslücke CVE-2018-8174 in der Windows VBScript Engine. Das Ganze ist wohl Kaspersky-Sicherheitsforschern aber auch chinesischen Sicherheitsforschern von 360 aufgefallen, die das Ganze an Microsoft gemeldet haben. Microsoft schreibt in den Security Guidances zu CVE-2018-8174:

A remote code execution vulnerability exists in the way that the VBScript engine handles objects in memory. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit the vulnerability through Internet Explorer and then convince a user to view the website. An attacker could also embed an ActiveX control marked "safe for initialization" in an application or Microsoft Office document that hosts the IE rendering engine. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements. These websites could contain specially crafted content that could exploit the vulnerability.

The security update addresses the vulnerability by modifying how the scripting engine handles objects in memory.

Es handelt sich also um ein Remote ausnutzbare Sicherheitslücke der VBScript-Engine. Ein Angreifer könnte eine speziell gestaltete Website hosten, die die Sicherheitslücke über den Internet Explorer ausnutzt. Ein Angreifer könnte auch ein ActiveX-Steuerelement, das als "sicher für die Initialisierung" markiert ist, in eine Anwendung oder ein Microsoft Office-Dokument einbetten, das die IE-Rendering-Engine hostet.

Die Schwachstelle könnte den Speicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen könnte. Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, kann dieselben Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der die Sicherheitslücke erfolgreich ausgenutzt hat, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Ist doch gepatcht, wo ist das Problem?

Im Security TechCenter listet Microsoft für Windows 7 bis Windows 10 separate Updates auf, die dieses kritische Sicherheitslücke schließen. Diese Updates stehen seit dem 8. Mai 2018 bereit. Also alles im grünen Bereich?


Anzeige

Bei Askwoody bin ich zufällig auf einen Hinweis zum Thema gestoßen und habe noch etwas recherchiert. Es gibt Probleme auf manchen Systemen, dass im Anschluss das Netzwerk fehlt – weil der Netzwerktreiber deinstalliert wurde und sich nach Installation der Sicherheitsupdates nicht mehr nachinstallieren lässt. Microsoft hat diesen Fehler inzwischen in den KB-Artikeln der betroffenen Updates nachgetragen. Ich habe im Blog-Beitrag Windows 7 SP1: Netzwerk-Bug durch KB4103718/KB4103712 das Thema aufgegriffen und Details genannt.

0day-Patch für CVE-2018-8174 von 0patch

Wer in diese Falle rauscht, kann gegebenenfalls die von opatch angebotene Lösung verwenden, um die Schwachstelle CVE-2018-8174 in der VBScript Engine abzudichten. Der Anbieter opatch ist dabei kein Unbekannter – fokussiert er sich doch darauf ungepachte Zero-Day-Lücken durch 0-day-Patches abzuschwächen (siehe Linkliste am Artikelende zu FoxIt, Office und GDI).

Woody Leonhard ist nun aufgefallen, dass die Macher von 0patch den Blog-Beitrag Windows Updates Broke Your Networking? Free Micropatches To The Rescue (CVE-2018-8174) veröffentlicht haben. Der Beitrag adressiert genau die kritische Remote Execution-Sicherheitslücke CVE-2018-8174 in der VBScript Engine. 

Im Blog-Beitrag wird die eigentliche Sicherheitslücke samt einem Exploit beschrieben. Und am Ende des Blog-Beitrags findet sich ein Download-Link auf den kostenlosen 0patch Agenten. Mit dessen Hilfe und den beiden Dateien ZP-320 und ZP-321 lässt sich die Lücke in oleaut32.dll unter Windows 7 und Windows 2008 Server schließen. Hierzu muss der oPatch-Assistent installiert sein und man benötigt ein Konto bei deinen. Dann werden die beiden oben genannten Patches im Dashboard angeboten und lassen sich anwenden. Vielleicht hilft es Betroffenen.

Ähnliche Artikel:
Microsoft Office Patchday (1. Mai 2018)
Adobe Flash Player Update auf Version 29.0.0.171
Zusammenfassung der Microsoft Sicherheitsupdates 8.5.2018
Patchday: Windows 10-Updates 8. Mai 2018
Patchday: Updates für Windows 7/8.1/Server Mai 2018
Patchday Microsoft Office Updates (8. Mai 2018)
Windows 7 SP1: Netzwerk-Bug durch KB4103718/KB4103712

Drittanbieter 0Patch für FoxIt-Sicherheitslücke
Microsoft Office Formeleditor 3.0 reaktivieren
Temporärer Fix für Windows GDI-Sicherheitslücke


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.