0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674

[English]Von 0patch gibt es seit heute einen Fix für die 0-day-Schwachstelle CVE-2020-0674 in der JScript-Bibliothek des Internet Explorers, die vor einigen Tagen öffentlich wurde. Hier einige Informationen, was ich bisher herausgefunden habe – der Beitrag wird bei neuen Erkenntnissen aktualisiert.


Anzeige

Worum geht es bei CVE-2020-0674?

Microsoft hat zum 17. Januar 2020 einen Sicherheitshinweis ADV200001 zu einer 0-Day-Schwachstelle (CVE-2020-0674 ist reserviert dafür) im Internet Explorer veröffentlicht. Die Schwachstelle betrifft den IE 9, 10, und 11 und tangiert praktisch alle Windows-Versionen (da der Internet Explorer dort als Browser enthalten ist).

In der Scripting Engine, die auch vom Internet Explorer verwendet wird, gibt es eine Memory Corruption-Schwachstelle. Bei der Ausführung von Objekten durch die Scripting Engine im Internet Explorer kann es zu Speicherüberläufen bzw. –Beschädigungen kommen. Das hat zur Konsequenz, dass Angreifer über präparierte Webseiten den Speicher des IE so beschädigen können, dass sich remote Code einschleusen und ausführen ließe.

Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzen erhalten aber nur die gleichen Benutzerrechte wie der aktuelle Benutzer. Ist der aktuelle Benutzer aber mit administrativen Benutzerrechten angemeldet, erhält der Angreifer, die Möglichkeit, eventuell die Kontrolle über ein betroffenes System zu übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Das ist zwar nur ein Worst Case-Szenario, über das ich im Blog-Beitrag Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020) berichtete. Dort habe ich auch den von Microsoft vorgeschlagenen Workaround vorgeschlagen, der aber einige Kollateralschäden verursacht.


Anzeige

Schon etwas heavy, aber Microsoft will diese Schwachstelle nicht zeitnah mit einem außerplanmäßigen Patch schließen. Geplant ist vielmehr, zum Februar 2020-Patchday ein Update für die unterstützten Windows-Versionen ausliefern. Ob Windows 7 SP1 und Windows Server 2008 R2 außerhalb des ESU-Programms einen Patch erhält, ist vollständig offen …

0patch liefert einen Fix

War ein 'Lackmus-Test' für mich, wie lange es dauert, bis 0patch da was veröffentlicht. Ich stehe ja mit Mitja Kolsek, dem CEO von ACROS Security und Mitbegründer von 0patch, in Kontakt, weil ich auch was zu 0patch-Lösungen für Windows 7 SP plane. Eben hat mich Mitja Kolsek per privater Twitter-Meldung auf die von seiner Firme entwickelte 0patch-Lösung aufmerksam gemacht.

Im Blog-Beitrag Micropatching a Workaround for CVE-2020-0674 beschreibt Mitja Kolsek den 'Kill Switch' für die Schwachstelle in der Bibliothek jscript.dll. Seine Mannschaft hat einen Testfall zum Laden der jscript.dll gefunden, der von Googles Project Zero beschrieben wurde. Damit hat man dann diese DLL auf die Schwachstelle untersucht. Im Anschluss war es möglich, einen Mikropatch für die Schwachstelle zu entwickeln. Die 0patch-Entwickler haben diesen Micropatch auf die folgenden Plattformen, für 32-Bit und 64-Bit, portiert:

Windows 7,
Windows 10 v1709,
Windows 10 v1803,
Windows 10 v1809,
Windows Server 2008 R2,
Windows Server 2019

0patch-Benutzer haben diesen Micropatch, so der Anbieter, bereits mit dem 0patch-Agenten auf alle Windows-Systeme, die online gehen können, heruntergeladen und – je nach Einstellungen – bereits automatisch auf alle Prozesse angewendet, die die Internet Explorer 11-Engine zum Rendern von Inhalten verwenden. Dazu gehören (natürlich) Internet Explorer, Microsoft Word, Microsoft Outlook und eine Vielzahl anderer Anwendungen. Das in obigem Tweet verlinkte YouTube-Video zeigt den Einsatz.

0patch-Agent und –Konto erforderlich

Zur Nutzung des Mikropatches wird der 0patch-Agent benötigt, der sich kostenlos von der opatch-Webseite herunterladen und dann unter Windows installieren lässt. Der Installer und der Agent benötigt zur Ausführung Administratorrechte.

0patch-Agent install

Die Bedienung erfolgt über die 0patch-Konsole, die per Windows-Startmenü aufrufbar ist. Zum Abrufen der Mikropatches in der 0patch-Konsole benötigt man ein Benutzerkonto beim Anbieter 0patch. Für private Einsatzzwecke wird ein Free-Account angeboten, den ich mal testweise mit einer E-Mail-Adresse angelegt habe. Für Firmen gibt es auch kostenpflichtige Kontenvarianten.

0patch Console

Der hier im Free-Account aufgeführte JScript-DLL-Patch bezieht sich aber auf eine Memory Corruption-Schwachstelle CVE-2019-1429 von November 2019 (habe ich auf dem Testsystem noch nicht gepatcht, da der IE11 nicht genutzt wird). Der 0patch-Agent zeigt also, ob nicht gefixte Schwachstellen vorhanden sind.

0patch: installed patches

Ergänzung: Den Mikropatch für die aktuelle Schwachstelle CVE-2020-0674 habe ich dann (nach einem Hinweis von Mitja Kolsek) unter 'Installed Patches' unter den Nummern 402-404 für die mshtml.dll gefunden. Coole Sache.

Ähnliche Artikel:
Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020)
Windows 7: Und Tschüss Internet Explorer 11 (Supportende)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu 0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674

  1. Gerold sagt:

    "Zum Abrufen der Mikropatches in der 0patch-Konsole benötigt man ein Benutzerkonto beim Anbieter 0patch. Für private Einsatzzwecke wird ein Free-Account angeboten, den ich mal testweise mit einer E-Mail-Adresse angelegt habe. Für Firmen gibt es auch kostenpflichtige Kontenvarianten."

    Das stimmt so nicht, mit einem Free-Account bekommt man nur die free patches. Wer alle Patches will braucht einen kostenpflichtigen Account. Wer seine Win 7 Installation mit 0patch absichern will braucht einen Pro-Account.

    "Micropatches for Windows 7 and Server 2008
    Worried about security patches for your Windows 7 and Windows Server 2008 computers after their end-of-support in January 2020? Don't be. 0patch will provide security micropatches for high-risk vulnerabilities in these popular and ubiquitous Windows platforms, all included in the price of a PRO license that already gives you many micropatches for other high-risk vulnerabilities in various widely used products.

    No matter if home or business user, small shop, enterprise or government – we'll have you covered. As an added bonus, you won't have to restart your computers (or even lift a finger really) to get patches applied, they will take just a few bytes of your space and get downloaded in seconds."

    • Günter Born sagt:

      Noch kann ich keinen Widerspruch zu meiner zitierten Aussage erkennen. Sorry, da steht nicht, dass man mit den Free-Accounts alle Mikropatches von 0patch bekommt. Aber der Patch für die aktuelle Schwachstelle CVE-2020-0674 ist beim Free-Account dabei – habe das inzwischen nachgetragen. Und um Windows 7 ging es in obigem Beitrag nicht. Da werde ich separat drüber bloggen – die Buisness- und Enterprise-Accounts sind mir zugesagt – hatte nur noch keine Zeit, die abzurufen.

  2. Bolko sagt:

    Der 0patch repariert also gar nicht die Schwachstelle in der jscript.dll, sondern er verhindert nur das Laden und Ausführen der kaputten jscript.dll.

    Er macht also fast das selbe im Bytecode, was Stefan Kanthak per Registry bzw per Gruppenrichtlinie macht:
    https://skanthak.homepage.t-online.de/noscript.html

    Allerdings gibt es im 0patch eine zusätzliche GUID für Jscript.Compact (bei Kanthaks Registry ist nur die Jscript.Encode drin).

    Dann müsste die verbesserte ergänzte Registry-Patch also so aussehen:

    —–SCHNIPP —–
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext]
    ;"RestrictToList"=dword:00000000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID]
    "{B54F3741-5B07-11CF-A4B0-00AA004A55E8}"="0" ; VBScript Language
    "{F414C260-6AC0-11CF-B6D1-00AA00BBBB58}"="0" ; Jscript Language (Jscript.Encode)
    "{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}"="0" ; Jscript Language (Jscript.Compact)

    —– SCHNAPP—–
    (Den Text speichern mit der Dateiendung .reg und dann mit Adminrechten doppelklicken / starten)

    • Bolko sagt:

      Ich bin mir allerdings nicht sicher, ob die GPO gezielt einzelne Funktionen einer dll abschalten kann oder ob sie nur pauschal die ganze dll deaktivieren kann.

  3. Hansi sagt:

    Wer 0patch ganauer anschaun will soll doch bitte an die sales adresse schreiben. Ich habe eine Trial Lizenz für ca. 10 Tage erhalten, und bin nun am evaluieren der Pro inkl. der patchcentral Konsole.

    CVE-2019-0708 ist ein schönes Beispiel von wegen zeitnah, mal schauen wann MS patcht.

    Ich tendiere das Geld anstatt für das teure ESU bei 0patch zu investieren.

    • Günter Born sagt:

      Folgendes: Ich werde mit 0patch was machen – ein Artikel kommt noch – ist aktuell viel los. Ich suche noch jemand, der im Bereich Windows Server 2008/R2 was mit 0patch testen kann. Ich bekomme da wohl eine Business-Lizenz, die ich dann an den Tester abgeben könnte. Bedingung wäre, dass ich Feedback bekomme – ich möchte im Jahr 2020 sowohl über ESU-Updates als auch über 0patch-Mikropatches (Free und Business/Enterprise) bloggen.

      Details gebe ich dann im Betrag bekannt.

  4. Gerold sagt:

    Erste Erfahrungen mit 0patch als Free-User. Internet-Explorer wird gepatcht, auch ein anderes Programm welches die mshtml.dll benutzt wird gepatcht. Im laufenden Betrieb keine Performance Einbussen spürbar, der Bootvorgang dauert jedoch ein paar Minuten länger (System mit Festplatte). Die Ursache habe ich den Logdateien von 0patch gefunden, beim Systemstart macht 0ptachscanner einen Scan über sämtliche Laufwerke (0patchScanner.log in ProgramData/0patch/Logs).

  5. Robert sagt:

    Habe 0Patch als Admin installiert. Wenn ich nun versuche über das Interface einen Free Account anzulegen und meine E-Mail Adresse und mein Passwort einzugeben erhalte ich sofort die Meldung 'Invalid Username or Password.' Man kann ja da eigentlich nix falsch machen. Was kann man denn da machen? Falsches PW kann es ja auch nicht sein, hab ja noch nie eins angelegt.

  6. Robert sagt:

    Das ging einwandfrei mit Firefox. Danke Gerold und Günter.

    Leider kann ich wenn ich auf kaufen klicke für die Pro Version nichts eintragen, es ist alles völlig verschwommen. Aber damit ich nichts falsch mache, es ist doch die Pro Version oder würdet Ihr die Enterprise Version nehmen. Die kostet ja wohl das Gleiche und ist angeblich schneller wie die Pro. Aber ist das nötig?

    • Günter Born sagt:

      Als Privatnutzer oder KMU nimmst Du die Pro-Version. Enterprise ist m.W. nur interessant, wenn eine zentrale Verwaltung erfolgen soll – habe mich mit dem Thema aber noch nicht praktisch auseinander gesetzt – es sind aktuell einfach zu viele Themen hier für den Blog.

    • Robert sagt:

      Es waren mal wieder meine Nerven die mit mir durchgegangen sind in Form von NoScript. Da war was nicht erlaubt und schon konnte ich die Seite nicht sehen bzw. laden. Hat sich also erledigt und ich kann mir nun Lizenzen kaufen.

      • Günter Born sagt:

        @Robert: Danke für die Ergänzung

        Eine Bitte: Klicke nächstes Mal bitte auf den Antworten-Link unter deinem vorherigen Kommentar (statt die Antwort auf einen Eintrag unten im Kommentarfeld einzutragen). Dann wird das als Baum bis zu 5 Ebenen einsortiert und hilft Mitlesern das besser zu verfolgen und einzuordnen. Aktuell haben wir zwei Threads von dir zu einem Thema. Ich kann es hier leider nicht direkt im Kommentarbaum 'umhängen' – sondern muss einen Kommentar löschen und händisch neu eintragen. Habe ich jetzt für den letzten Kommentar gemacht.

        Danke für dein Verständnis.

  7. Peter sagt:

    Der sogenannte 0patch ist für Firmen nicht brauchbar. Wir arbeiten mit einer Proxy Autoconfiguration Datei (Proxy PAC) und der Zugriff via Proxy funktioniert danach nicht mehr. Wir haben auch mit der IE Zoneneinstellung versucht, "altes" Javascript nur im "trusted"/lokalen Bereich ausführen zu lassen, aber es gibt da auch leider Ausnahmen, wo man unbedingt IE11 noch nutzen möchte (persönlich bin ich da anderer Ansicht, aber es gibt wohl Anwender, die bspw. statt mit IE mit Edge bestimmte Seiten aufrufen wollten, und das hat dann nicht richtig funktioniert).
    Microsoft sollte hier mal in die Gänge kommen und den Patch vor dem nächsten Patch-Tuesday liefern.

  8. Stefan Somogyi sagt:

    Unsere Erfahrungen mit dem 0Patch Fix:

    – Proxy PAC Problematik tritt nur bei Win7, Win10 bis 1803 und Server 2016 bis 1803 auf. Ab 1809 wird die JScript9.dll verwendet. Workaround ist die Konfiguration der Verbindung per Policy mit direkter Angabe des Proxy Servers und den Ausnahmen.
    – WMP spielt auch keine MP3 und M4A ab, bzw. es erscheint die Meldung "Ausführung des Servers fehlgeschlagen".
    – Skype for Business Aufzeichnungen können nicht mehr abgespielt werden wegen der Nutzung von WMP. Skype Sprachnachrichten per Mail können nicht geöffnet werden, weil der WMP Plugin nicht angezeigt werden kann.
    – Gewisse alte Installations und Deinstallationsroutinen enden in Error 1603.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.