[English]In Windows (7 bis 11) gibt es eine Windows Themes Spoofing-Schwachstelle, die bisher nicht durch Microsoft geschlossen wurde. Die Entwickler von ACROS Security haben einen Micropatch entwickelt, der sich über den 0Patch-Agenten installieren lässt. Damit kann Windows geschützt werden, bis Microsoft einen Patch bereitstellt.
Anzeige
Windows Themes Spoofing-Schwachstelle CVE-2024-38030
Im Juli 2024 wurde die Windows Themes Spoofing-Schwachstelle CVE-2024-38030 öffentlich. Die Schwachstelle ermöglicht einem Angreifer Informationen über ein System abzurufen, falls NTLM aktiviert ist. Microsoft empfiehlt NTLM auf den Systemen zu deaktivieren und hat der Schwachstelle einen CVSS 3.1-Score von 5.7 (important) zugewiesen. Zudem wurde ein Update zum Schließen der Schwachstelle für Juli 2024 bereitgestellt.
Aufgedeckt wurde die Schwachstelle vom Akamai-Sicherheitsforscher Tomer Peled, der die Windows-Theme-Dateien auf Schwachstellen untersuchte. Dabei stellte er fest, dass Windows automatisch authentifizierte Netzwerkanfragen an Remote-Hosts sendet. Die Anfragen enthalten auch die der NTLM-Anmeldeinformationen des Benutzers. Es reicht, eine solche Theme-Datei im Windows Explorer anzuzeigen.
Sofern eine Theme-Datei einen Netzwerk-Dateipfad für einige der Theme-Eigenschaften angibt (insbesondere BrandImage und Wallpaper), können die Anmeldeinformationen übertragen werden. Dies bedeutete, dass das bloße Auffinden einer bösartigen Designdatei in einem Ordner oder auf dem Desktop ausreichen würde, um die Anmeldeinformationen des Benutzers ohne zusätzliche Benutzeraktion auszuspähen.
Neue Windows Themes Spoofing-Schwachstelle
Die Sicherheitsspezialisten von ACROS Security haben im Juli 2024 die Windows Themes Spoofing-Schwachstelle CVE-2024-38030 analysiert und einen Micropatch zum Entschärfen der Schwachstelle bereitgestellt. Bei der Analyse der Schwachstelle sind sie auf eine weitere (0-day) Schwachstelle in den Windows Themes-Dateien gestoßen.
Anzeige
Da es von Microsoft noch kein Update gibt, hat ACROS Security den Micropatch zum Schließen der Schwachstelle CVE-2024-38030 so modifiziert, dass er auch diese Schwachstelle unschädlich macht. Die Details lassen sich im Blog-Beitrag We Patched CVE-2024-38030, Found Another Windows Themes Spoofing Vulnerability (0day) nachlesen.
Der 0patch-Agent versorgt Benutzer mit Sicherheits-"Mikropatches" für Sicherheitslücken. Diese Patches sind sehr klein, in der Regel nur ein paar CPU-Befehle (daher der Name), und werden auf laufende Prozesse im Speicher angewendet, ohne ein einziges Byte der Original-Binärdateien von Microsoft zu verändern (Siehe Wie 0patch funktioniert, oder in meinem Blog-Beitrag hier).
Ähnliche Artikel:
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
0patch fixt ms-officecmd RCE-Schwachstelle in Windows
0patch fixt RemotePotato0-Schwachstelle in Windows
Windows 10: 0patch sorgt für 5 Jahre Zusatzsupport
Anzeige