[English]Vorige Woche wurde das Microsoft Desktop Optimization Pack (MDOP) Juli 2018 Service Release freigegeben. Heute nochmals ein kurzer Blick auf das MDOP/MBAM-Update KB4340040 in Punkte Sicherheitslücken bzw. vermeidbare Schwachstellen.
Anzeige
Microsoft Desktop Optimization Pack (MDOP) Update
Das Microsoft Desktop Optimization Pack (MDOP) richtet sich Administratoren im Windows-Umfeld, die über einen Software Assurance-Vertrag verfügen. Es handelt sich um ein ein Portfolio von Technologien, das als Abonnement für Software Assurance-Kunden erhältlich ist. MDOP soll helfen, die Kompatibilität und das Management zu verbessern, die Support-Kosten zu senken, das Asset-Management zu verbessern und die Richtlinienkontrolle zu verbessern.
Alles, was man so als Administrator haben will und per Software Assurance-Vertrag auch für zahlt. Am 11. Juli 2018 hat Microsoft das Microsoft Desktop Optimization Pack (MDOP) Juli 2018 Service Release freigegeben. Ich hatte über Update KB4340040 im Blog-Beitrag Microsoft Desktop Optimization Pack (MDOP) Juli 2018 Service Release berichtet. Dabei war mir aufgefallen, dass Microsoft den Installer sowohl als .exe-Datei als auch als .msi-Installationsdatei bereitstellt.
Im Blog-Beitrag hatte ich empfohlen, aus Sicherheitsgründen auf die .msi-Installationsdatei zu setzen. Die .exe-Installer entpacken die Installationsdateien oft erst in temporäre Ordner, um dann die Installation mit Administratorrechten zu starten. Dieser 'Rösselsprung' stellt aber ein potentielles Sicherheitsrisiko (für DLL-Hijacking) dar und sollte vermieden werden.
Fette Schwachstellen in MDOP/MBAM
Im Blog-Beitrag Microsoft Desktop Optimization Pack (MDOP) Juli 2018 Service Release hatte ich auf einige Feststellungen in Punkto Sicherheit von Stefan Kanthak verwiesen, ohne mir selbst das Update-Paket vorzunehmen. So ganz daneben lag ich aber mit meinem Schuss ins Blaue nicht. Stefan Kanthak scheint wohl das Microsoft Security Research Team (MSRC) kontaktiert zu haben.
Anzeige
> From: Stefan Kanthak
> Received: Sun Jul 15 2018 03:40:19 GMT-0700 (Pacific Daylight Time)
> To: <Microsoft Security Response Center>; Microsoft Security Response Center; Microsoft Security Response Center
> Cc: ….; CERT; CERT/CC; cert@cert.org; ….
> Subject: KB4340040: multiple vulnerabilities allow escalation of privilege CRM:0461057028
>
> Hi, you just released "July 2018 servicing release for Microsoft Desktop Optimization Pack" The executable installersMBAM2.5_Client_x64_KB4340040.exe MBAM2.5_Client_x86_KB4340040.exe MBAM2.5_X64_Server_KB4340040.exe
you offer for download from are but VULNERABLE!
1. All three executable installers are vulnerable to DLL hijacking: they load multiple system DLLs from their "application directory", typically the user's "Downloads" directory %USERPROFILE%\Downloads\, instead from Windows' "systemdirectory" %SystemRoot%\System32\, resulting in arbitrary code execution. On a fully patched Windows 7 SP1,
MBAM2.5_Client_x64_KB4340040.exe and MBAM2.5_Client_x86_KB4340040.exe
load AT LEAST the following rogue DLLs: msls31.dll, propsys.dll, ntmarta.dll, version.dll, secur32.dll
On a fully patched Windows 7 SP1, BAM2.5_X64_Server_KB4340040.exe loads AT LEAST the following rogue DLLs: uxtheme.dll, cabinet.dll, msi.dll, version.dll For this well-known and well-documented BEGINNER'S ERROR
Stefan Kanthak weist in seiner Mail das MSRT auf die eigene Microsoft-Dokumentation bzw. Vorgaben hin, die so was ächtet. Kürzlich ist mir eine Mail von ihm mit der Antwort den MSRC-Teams zugegangen. Zuerst hat das Sicherheitsteam von Microsoft bestätigt, dass die Meldung KB4340040: multiple vulnerabilities allow escalation of privilege CRM:0461057028 intern zur Begutachtung eskaliert worden sein. Dann kam die Bestätigung der Sicherheitslücken:
Subject: RE: ?MSRC Case 46695? CRM:0461057028
> Hi Stefan,
> We have completed our investigation and determined the issue does not meet the bar for a security update.
> The issue has been flagged for vnext consideration. I do not have a timeline for vnext release.
>
> Regards,
> Antonio
>
> ——————- Original Message ——————-
> From: Microsoft Security Response Center
> Received: Mon Jul 16 2018 10:25:05 GMT-0700 (Pacific Daylight Time)
> To: Stefan Kanthak
> Subject: ?MSRC Case 46695? CRM:0461057028
>
> Thank you very much for your report.
>
> I have opened case 46695 and the case manager, Antonio will be in touch when there is more information.
>
> In the meantime, to protect the ecosystem, we ask that you respect coordinated vulnerability disclosure (see
https://technet.microsoft.com/en-us/security/dn467923.aspx for details) and not report this publicly before we have notified you that this issue is fixed.
…
> Regards,
> Microsoft Security Response Center
Das Team erkennt eine Schwachstelle, die aber nicht so gravierend ist, dass direkt gepatcht werden muss. Man will das bei einem der nächsten Updates (wann, wird nicht gesagt), berücksichtigen (eigentlich hätte man ja nur die .exe-Dateien von den Webservern entfernen müssen). Stefan Kanthak schreibt zum Vorgang:
From: "Microsoft Security Response Center" <secure@microsoft.com>
To: "Microsoft Security Response Center" <secure@microsoft.com>; "Stefan Kanthak"
Sent: Monday, July 16, 2018 9:37 PM
zur Information: wie erwartet bestaetigt das MSRC diese BLUTIGEN ANFAENGERFEHLER im juengsten MDOP/MBAM-Update KB4340040, schreibt jedoch, dass keine Sicherheits-Korrektur veroeffentlicht wird."Defense in depth — the Microsoft way" … oder "trustworthy computing" war Vorvorgestern …
Dummerweise ist "DLL spoofing" auch schon seit Vorvorgestern bekannt:
siehe <https://skanthak.homepage.t-online.de/ntintrotosec.html>
Das ist die Kurzfassung des vom gleichen Autor geschriebenen "NSA Guide"
<http://fy.chalmers.se/~appro/nt/nsaguide.pdf>; siehe dort die Seiten 105/106
Tja, und damit ist sicherheitstechnisch alles im 'grünen Bereich', wie man so sagt. Wird schon keiner ausnutzen – oder wie sagt der Kölner: 'Et hätt noch immer jod jejange'.
Anzeige