{"id":201011,"date":"2018-02-16T08:52:08","date_gmt":"2018-02-16T07:52:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=201011"},"modified":"2019-11-27T17:24:25","modified_gmt":"2019-11-27T16:24:25","slug":"microsoft-liefert-updates-per-http-aus-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/02\/16\/microsoft-liefert-updates-per-http-aus-und-mehr\/","title":{"rendered":"Microsoft liefert Updates per HTTP aus und mehr"},"content":{"rendered":"

[English<\/a>]Noch ein kleiner Sicherheitssplitter zum Wochenabschluss. Microsoft patzt momentan erheblich bei der Auslieferung von Updates. Der Microsoft Update Catalog hat Ladehemmung, wenn er \u00fcber die falsche URL aufgerufen wird. Und unter dem Motto 'Security by obscurity' werden Updates per HTTP statt per HTTPS ausgeliefert. Das gilt \u00fcbrigens auch f\u00fcr Downloads aus dem Microsoft Update Catalog.<\/p>\n

<\/p>\n

Update-Download per HTTP?<\/h2>\n

\"\"Stefan Kanthak hat mir vorgestern eine Mail geschickt, in der er auf eine \u00e4u\u00dferst unsch\u00f6ne Geschichte hinweist. Hier der Auszug aus seiner Mail vom 14. Februar 2018:<\/p>\n

In Deinem Blog verwendest Du dummerweise auch http: statt https: nicht nur fuer den Microsoft Update Catalog.<\/p>\n

Pruefst Du die SHA1-Pruefsumme der heruntergeladenen Updates? Die Authenticode-Signatur? Holst Du die Updates von dort per http:, falls (ein Poehsewicht) die \"automatischen Updates\" blockieren sollte(n)? Oder doch lieber per https:?<\/p><\/blockquote>\n

Worum es bei diesen Zeilen geht? In meinen Blog-Beitr\u00e4gen zu den Updates am Microsoft-Patchday \u00fcbernehme ich die Links zu den KB-Artikeln aus der Microsoft-Dokumentation. Und dort arbeitet Microsoft noch mit Verlinkungen auf http-Seiten. Das w\u00e4re noch nicht mal so schlimm.<\/p>\n

\"http-Adresse<\/p>\n

Aber das Thema geht noch weiter. Ruft man beispielsweise den KB-Artikel KB4011715<\/a> zu Office-Updates auf, liegt dieser auf einer https-Webseite (das ist gut). Aber auf der Webseite gibt es einen direkten Download-Link.<\/p>\n

\"http-Adresse<\/p>\n

Ich habe in obigem Screenshot mal den Link in das Bild kopiert. Mal festgehalten: Der Beschreibungstext wird per https von der Webseite abgerufen. Der Download erfolgt aber ungesichert \u00fcber das http-Protokoll. Ein Man-in-the-middle k\u00f6nnte also das Update manipulieren. Um sicher zu gehen, dass der Download unmanipuliert ist, m\u00fcsste man diesen im Anschluss \u00fcberpr\u00fcfen. Das ist das, was Stefan Kanthak in seiner Mail andeutet.<\/p>\n

Beitrag in seclist.org<\/h2>\n

Stefan Kanthak hat das Thema bei seclists.org<\/a> als Defense in depth — the Microsoft way (part 52): HTTP used to distribute (security) updates, not HTTPS<\/em> eingestellt (danke an Blog-Leser Leon, dem das auch aufgefallen war, f\u00fcr den zus\u00e4tzlichen Hinweis). Hier der Auszug:<\/p>\n

yesterdays \"Security update deployment information: February 13, 2018\" <https:\/\/support.microsoft.com\/en-us\/help\/20180213<\/a>> links the following MSKB articles for the security updates of Microsoft's Office products:<\/p>\n

<https:\/\/support.microsoft.com\/kb\/4011715<\/a>> <https:\/\/support.microsoft.com\/kb\/4011200<\/a>> <https:\/\/support.microsoft.com\/kb\/3114874<\/a>> <https:\/\/support.microsoft.com\/kb\/4011707<\/a>> <https:\/\/support.microsoft.com\/kb\/4011711<\/a>> <https:\/\/support.microsoft.com\/kb\/4011690<\/a>> <https:\/\/support.microsoft.com\/kb\/4011697<\/a>> <https:\/\/support.microsoft.com\/kb\/4011701<\/a>> <https:\/\/support.microsoft.com\/kb\/3172459<\/a>> <https:\/\/support.microsoft.com\/kb\/4011143<\/a>> <https:\/\/support.microsoft.com\/kb\/4011686<\/a>> <https:\/\/support.microsoft.com\/kb\/4011682<\/a>> <https:\/\/support.microsoft.com\/kb\/4011680<\/a>><\/p>\n

Alternatively use yesterdays \"February 2018 updates for Microsoft Office\" <https:\/\/support.microsoft.com\/en-us\/help\/4077965<\/a>> and all the MSKB articles linked there, which are a superset of those named above.<\/p>\n

Each of these MSKB articles in turn contains one or two links to the download pages for the updates, which except 2 (of 22) are of the form <http:\/\/www.microsoft.com\/downloads\/details.aspx?familyid=GUID> (despite the HTTPS: used for the MSKB articles), ie. they use HTTP instead of HTTPS, inviting to MitM attacks, ALTHOUGH the server www.microsoft.com supports HTTPS and even redirects these requests to <https:\/\/www.microsoft.com\/downloads\/details.aspx?familyid=GUID>!<\/p>\n

JFTR: this bad habit is of course present in ALMOST ALL MSKB articles for previous security updates for Microsoft's Office products too … and Microsoft does NOT CARE A B^HSHIT about it!<\/p>\n

Microsoft also links all the MSKB articles for their Windows security updates, for example <https:\/\/support.microsoft.com\/kb\/4074595<\/a>>, in their \"Security update deployment information: <month> <day>, <year>\".<\/p>\n

Allmost all of these MSKB articles as well as those for Microsoft's Office products (see above) in turn contain a link to Microsoft's \"Update Catalog\", which ALL are of the form<\/p>\n

<http:\/\/catalog.update.microsoft.com\/v7\/site\/search.aspx?q=4074595<\/a>><\/p>\n

(despite the HTTPS: used for the MSKB articles), ie. they use HTTP instead of HTTPS, inviting to MitM attacks, ALTHOUGH the server catalog.update.microsoft.com [*] supports HTTPS!<\/p>\n

JFTR: even if you browse the \"Microsoft Update Catalog\" via <https:\/\/www.catalog.update.microsoft.com\/Home.aspx<\/a>> [#], ALL download links published there use HTTP, not HTTPS!<\/p>\n

That's trustworthy computing … the Microsoft way! Despite numerous mails sent to <secure () microsoft com> in the last years, and numerous replies \"we'll forward this to the product groups\", nothing happens at all.<\/p><\/blockquote>\n

Also in kurz: Microsoft kann https, mixt auf seinen Webseiten aber flei\u00dfig http-Downloads ins Angebot. Selbst wenn man den Microsoft Update Catalog aufruft, wird der Download per http<\/em>-Protokoll bereitgestellt. Ich habe es gerade \u00fcberpr\u00fcft, weil ich es kaum glauben konnte. Aber mir wurde gerade die Adresse http: \/\/ download.windowsupdate[.]com\/<\/em> angeboten. Stefan schreibt, dass er Microsoft h\u00e4ufiger auf das Problem hingewiesen habe, aber nix ist passiert.<\/p>\n

Microsoft Update Catalog kaputt<\/h2>\n

Wer versucht, die (alte) Adresse https:\/\/catalog.update.microsoft.com\/<\/a> aufzurufen, erh\u00e4lt im Browser die folgende Anzeige.<\/p>\n

\"Chrome<\/p>\n

Die Links werden teilweise noch auf Microsofts Webseiten angegeben. Das Ganze wurde die Tage hier<\/a> bem\u00e4ngelt. Ich hatte das Thema vor einiger Zeit im Blog-Beitrag Probleme mit dem Microsoft Update Catalog<\/a> angesprochen. Vor einiger Zeit fand noch eine automatische Umleitung statt, die aber nicht immer funktionierte. Aktuell scheint die Weiterleitung ausgefallen zu sein. Klaus Pit hat es im Kommentar<\/a> angerissen:<\/p>\n

Microsoft bedient uns mit zweierlei Links:
\nAus dem Security TechCenter l\u00e4uft der veraltete
\nhttps:\/\/catalog.update.microsoft.com\/v7\/site\/Search.aspx?q=KB4074598<\/a>
\nmit \"\/v7\/site\/ im Link, der zum Seitenfehler f\u00fchrt.<\/p>\n

Korrekt:
\nhttps:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=KB4074598<\/a><\/p><\/blockquote>\n

Man muss also die https:\/\/www.catalog.update.microsoft.com\/Home.aspx<\/a> Variante verwenden, um eine Anzeige zu bekommen. Falls also die obige Anzeige erscheint, erg\u00e4nzt einfach das www<\/em> vor catalog<\/em> \u2013 dann wird zumindest die Seite des Microsoft Update Catalog (aber mit einem Fehler, dass der Link nicht korrekt ist) angezeigt. Vielleicht hilft es euch weiter.<\/p>\n

PS: F\u00fcr mich w\u00fcrde es bedeuteten, dass ich alle fehlerhaften MS-URLs in den Blog-Beitr\u00e4gen umsetzen m\u00fcsste. Ob ich das leisten kann, wei\u00df ich noch nicht. Das Ganze ist Thema 'Information durch Microsoft' ist momentan ziemlich kaputt. KB-Artikel, die veraltet sind, falsche oder unvollst\u00e4ndige Informationen \u2013 mir sieht es so aus, als ob die Entlassungen der letzten Jahre nun (negative) Fr\u00fcchte tragen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Sicherheitssplitter zum Wochenabschluss. Microsoft patzt momentan erheblich bei der Auslieferung von Updates. Der Microsoft Update Catalog hat Ladehemmung, wenn er \u00fcber die falsche URL aufgerufen wird. Und unter dem Motto 'Security by obscurity' werden Updates per HTTP … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[672,4328,4315],"class_list":["post-201011","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-microsoft","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201011","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=201011"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201011\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=201011"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=201011"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=201011"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}