Inoffizieller Fix für 0-day Windows-Themes-Schwachstelle

Windows[English]In Windows (7 bis 11) gibt es eine Windows Themes Spoofing-Schwachstelle, die bisher nicht durch Microsoft geschlossen wurde. Die Entwickler von ACROS Security haben einen Micropatch entwickelt, der sich über den 0Patch-Agenten installieren lässt. Damit kann Windows geschützt werden, bis Microsoft einen Patch bereitstellt.


Anzeige

Windows Themes Spoofing-Schwachstelle CVE-2024-38030

Im Juli 2024 wurde die Windows Themes Spoofing-Schwachstelle CVE-2024-38030 öffentlich. Die Schwachstelle ermöglicht einem Angreifer Informationen über ein System abzurufen, falls NTLM aktiviert ist. Microsoft empfiehlt NTLM auf den Systemen zu deaktivieren und hat der Schwachstelle einen CVSS 3.1-Score von 5.7 (important) zugewiesen. Zudem wurde ein Update zum Schließen der Schwachstelle für Juli 2024 bereitgestellt.

Aufgedeckt wurde die Schwachstelle vom Akamai-Sicherheitsforscher Tomer Peled, der die Windows-Theme-Dateien auf Schwachstellen untersuchte. Dabei stellte er fest, dass Windows automatisch authentifizierte Netzwerkanfragen an Remote-Hosts sendet. Die Anfragen enthalten auch die der NTLM-Anmeldeinformationen des Benutzers. Es reicht, eine solche Theme-Datei im Windows Explorer anzuzeigen.

Sofern eine Theme-Datei einen Netzwerk-Dateipfad für einige der Theme-Eigenschaften angibt (insbesondere BrandImage und Wallpaper), können die Anmeldeinformationen übertragen werden. Dies bedeutete, dass das bloße Auffinden einer bösartigen Designdatei in einem Ordner oder auf dem Desktop ausreichen würde, um die Anmeldeinformationen des Benutzers ohne zusätzliche Benutzeraktion auszuspähen.

Neue Windows Themes Spoofing-Schwachstelle

Die Sicherheitsspezialisten von ACROS Security haben im Juli 2024 die Windows Themes Spoofing-Schwachstelle CVE-2024-38030 analysiert und einen Micropatch zum Entschärfen der Schwachstelle bereitgestellt. Bei der Analyse der Schwachstelle sind sie auf eine weitere (0-day) Schwachstelle in den Windows Themes-Dateien gestoßen.


Anzeige

Windows Themes Spoofing-Schwachstelle

Da es von Microsoft noch kein Update gibt, hat ACROS Security den Micropatch zum Schließen der Schwachstelle CVE-2024-38030 so modifiziert, dass er auch diese Schwachstelle unschädlich macht. Die Details lassen sich im Blog-Beitrag We Patched CVE-2024-38030, Found Another Windows Themes Spoofing Vulnerability (0day) nachlesen.

Der 0patch-Agent versorgt Benutzer mit Sicherheits-"Mikropatches" für Sicherheitslücken. Diese Patches sind sehr klein, in der Regel nur ein paar CPU-Befehle (daher der Name), und werden auf laufende Prozesse im Speicher angewendet, ohne ein einziges Byte der Original-Binärdateien von Microsoft zu verändern (Siehe Wie 0patch funktioniert, oder in meinem Blog-Beitrag hier).

Ähnliche Artikel:
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
0patch fixt ms-officecmd RCE-Schwachstelle in Windows
0patch fixt RemotePotato0-Schwachstelle in Windows
Windows 10: 0patch sorgt für 5 Jahre Zusatzsupport


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.