{"id":203902,"date":"2018-05-03T02:30:34","date_gmt":"2018-05-03T00:30:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=203902"},"modified":"2024-10-04T21:11:46","modified_gmt":"2024-10-04T19:11:46","slug":"windows-10-meltdown-patch-bypass-und-windows-host-compute-service-shim-sicherheitslcken","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/05\/03\/windows-10-meltdown-patch-bypass-und-windows-host-compute-service-shim-sicherheitslcken\/","title":{"rendered":"Windows 10: Meltdown-Patch Bypass und Windows Host Compute Service Shim Sicherheitsl&uuml;cken"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>[<a href=\"https:\/\/borncity.com\/win\/2018\/05\/03\/windows-10-meltdown-patch-bypass-and-hcsshim-flaw\/\" target=\"_blank\" rel=\"noopener noreferrer\">German<\/a>]Momentan rappelt es bei der Sicherheit von Windows 10. Die von Microsoft heraus gegebenen Meltdown-Patches f\u00fcr Windows 10 rei\u00dfen eine weitere Sicherheitsl\u00fccke. Diese ist in Windows 10 Version 1803 geschlossen, aber Updates f\u00fcr \u00e4ltere Windows 10-Builds sind erst in Arbeit. Und es gibt eine kritische Sicherheitsl\u00fccke im Windows Host Compute Service Shim \u2013 ein Patch ist verf\u00fcgbar. <\/p>\n<p><!--more--><\/p>\n<h2>Microsoft Meltdown Patches Bypass-Problem<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/340daeb6bff242ff8434f56772a92d6d\" width=\"1\" height=\"1\"\/>Microsoft hat mit Updates zum Schlie\u00dfen von Sicherheitsl\u00fccken nicht immer eine gl\u00fcckliche Hand. Nachdem Microsoft Patches zum Schlie\u00dfen der Meltdown-Schwachstelle ver\u00f6ffentlicht hat, wurde eine dadurch verursachte, neue Schwachstelle Total Meltdown bekannt. Ich habe dar\u00fcber in meinem Artikel <a href=\"https:\/\/borncity.com\/win\/2018\/04\/24\/windows-7-server-2008-r2-total-meltdown-exploit-went-public\/\">Windows 7\/Server 2008 R2: Total Meltdown exploit went public<\/a> berichtet. Gut, das bezog sich auf das total veraltete und unsichere Windows 7 sowie das Server Pendant, was eh keiner mehr nutzt (nur eine kleine Minderheit h\u00e4ngt auf dieser Plattform fest). Aber nun wird bekannt, dass auch Windows 10 so seine Probleme hat. Denn es gibt auch eine Meltdown Bypass-Schwachstelle in Windows 10. Microsoft hat dies in Windows 10 April Update (Version 1803) gepatcht.&nbsp; <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"en\">\n<p lang=\"en\" dir=\"ltr\">Welp, it turns out the <a href=\"https:\/\/twitter.com\/hashtag\/Meltdown?src=hash&amp;ref_src=twsrc%5Etfw\">#Meltdown<\/a> patches for Windows 10 had a fatal flaw: calling NtCallEnclave returned back to user space with the full kernel page table directory, completely undermining the mitigation. This is now patched on RS4 but not earlier builds &#8212; no backport?? <a href=\"https:\/\/t.co\/VIit6hmYK0\">pic.twitter.com\/VIit6hmYK0<\/a><\/p>\n<p>\u2014 Alex Ionescu (@aionescu) May 2, 2018<\/p><\/blockquote>\n<p><span id=\"preserve48b47d2a79dd4b02b0b039ecf19381e4\" class=\"wlWriterPreserve\"><script charset=\"utf-8\" src=\"https:\/\/platform.twitter.com\/widgets.js\" async><\/script><\/span> <\/p>\n<p>Sicherheitsforscher Alex Ionescu hat dies in obigem Tweet \u00f6ffentlich gemacht. Ruft eine Anwendung die API-Funktion <em>NtCallEnclave<\/em> auf, gibt dies die Kernel Page Table Directory an den User Space zur\u00fcck. F\u00fcr mich sieht es wie die im Artikel <a href=\"https:\/\/borncity.com\/win\/2018\/04\/24\/windows-7-server-2008-r2-total-meltdown-exploit-went-public\/\">Windows 7\/Server 2008 R2: Total Meltdown exploit went public<\/a> beschriebene L\u00fccke aus. <\/p>\n<p>Und f\u00fcr \u00e4ltere Windows 10-Builds gibt es aktuell keinen Patch, um das Problem zu schlie\u00dfen. Bleeping Computer hat von Microsoft eine E-Mail mit folgender Aussage erhalten: ' Wir sind uns [dessen] bewusst und arbeiten daran, unsere Kunden mit einem Update zu versorgen'. M\u00f6glicherweise wird am Patchday (8. Mai 2018) ein Update f\u00fcr diverse Windows 10 Builds freigegeben. <\/p>\n<h2>Windows Host Compute Service Shim-Sicherheitsl\u00fccke<\/h2>\n<p>Es gibt noch eine zweite, von Microsoft selbst als kritisch eingestufte Sicherheitsl\u00fccke im Windows Host Compute Service Shim. Blog-Leser wufuc_MaD hat mir <a href=\"https:\/\/borncity.com\/blog\/2018\/05\/02\/windows-10-april-update-neuerungen-und-timeline-anschaut\/#comment-57425\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> einen diesbez\u00fcglichen Kommentar hinterlassen. <\/p>\n<blockquote>\n<p>na wie w\u00e4rs denn mit der ersten sicherheitsl\u00fccke im mai? also wenn eine \"Windows Host Compute Service Shim Remote Code Execution\" nicht mal was neues ist.. das sicherheitsupdate samt release notes gibs bereits auf \"github\":<\/p>\n<p>htt ps:\/\/github.com\/Microsoft\/hcsshim\/releases\/tag\/v0.6.10<\/p>\n<p>auch wenn noch nichts weiter bekannt ist, da noch nicht mal mit der analyse begonnen wurde: htt ps:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-8115<br \/>tja, bin mal gespannt was das genau ist! hab schon ein wenig dar\u00fcber gelesen (english) und ein paar worte \u00fcber \"shims\" deinerseits w\u00fcrde ich sehr begr\u00fc\u00dfen!<\/p>\n<\/blockquote>\n<p>Gut, die Informationen in der National Vulnerability Datenbank NVD, die oben erw\u00e4hnt ist, kann man vergessen. Das US CERT <a href=\"https:\/\/www.us-cert.gov\/ncas\/current-activity\/2018\/05\/02\/Microsoft-Releases-Security-Update\" target=\"_blank\" rel=\"noopener noreferrer\">berichtete hier<\/a>, dass Microsoft ein Sicherheitsupdate ver\u00f6ffentlicht hat, um eine Schwachstelle in der Windows Host Compute Service Shim (hcsshim) Bibliothek zu beheben. Ein entfernter Angreifer k\u00f6nnte diese Schwachstelle ausnutzen, um die Kontrolle \u00fcber ein betroffenes System zu \u00fcbernehmen. <\/p>\n<p>Von Microsoft habe ich vor einigen Stunden die folgende Sicherheitsbenachrichtigung erhalten: <\/p>\n<blockquote>\n<p>**********************************************<br \/>Title: Microsoft Security Update Releases<br \/>Issued: May 2, 2018<br \/>**********************************************<\/p>\n<p>Summary<br \/>=======<\/p>\n<p>The following CVE has undergone a major revision increment:<\/p>\n<p>* CVE-2018-8115<\/p>\n<p>Revision Information:<br \/>=====================<\/p>\n<p>&#8211; CVE-2018-8115 | Windows Host Compute Service Shim Remote Code<br \/>&nbsp;&nbsp; Execution Vulnerability<br \/>&#8211; <a href=\"https:\/\/web.archive.org\/web\/20201101051813\/https:\/\/portal.msrc.microsoft.com\/en-us\/security-guidance\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/portal.msrc.microsoft.com\/en-us\/security-guidance<\/a><br \/>&#8211; Version: 1.0<br \/>&#8211; Reason for Revision: Information published.<br \/>&#8211; Originally posted: May 2, 2018<br \/>&#8211; Aggregate CVE Severity Rating: Critical<\/p>\n<\/blockquote>\n<p><a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2018-8115\" target=\"_blank\" rel=\"noopener noreferrer\">Dieser Microsoft Artikel<\/a> enth\u00e4lt ein paar zus\u00e4tzliche Informationen zu der als kritisch eingestuften Sicherheitsl\u00fccke. <\/p>\n<blockquote>\n<p>A remote code execution vulnerability exists when the Windows Host Compute Service Shim (hcsshim) library fails to properly validate input while importing a container image. To exploit the vulnerability, an attacker would place malicious code in a specially crafted container image which, if an authenticated administrator imported (pulled), could cause a container management service utilizing the Host Compute Service Shim library to execute malicious code on the Windows host.  <\/p>\n<p>An attacker who successfully exploited the vulnerability could execute arbitrary code on the host operating system.  <\/p>\n<p>The security update addresses the vulnerability by correcting how Windows Host Compute Service Shim validates input from container images.<\/p>\n<\/blockquote>\n<p>An dieser Stelle ein paar Erl\u00e4uterungen zum Sachverhalt. Shims sind eigentlich Zwischenst\u00fccke (in der Mechanik Unterlegscheiben oder Blechst\u00fccke als Abstandshalter); in der Softwarewelt ist damit eine Zwischenschicht gemeint, die Anpassungen vornimmt.<\/p>\n<p>Windows Host Compute Service Shim ist ein Dienst, der auf einer Bibliothek aufsetzt und daf\u00fcr sorgt, dass Container (Stichwort Docker) unter Windows eingebunden und ausgef\u00fchrt werden k\u00f6nnen. Microsoft hat Anfang 2017 <a href=\"https:\/\/web.archive.org\/web\/20180503200720\/https:\/\/blogs.technet.microsoft.com\/virtualization\/2017\/01\/27\/introducing-the-host-compute-service-hcs\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Technet-Beitrag<\/a> ver\u00f6ffentlicht, in dem der Host Compute Service (HCS) im Virtualisierungs-Blog vorgestellt wurde. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Host Compute Service (HCS) \" alt=\"Host Compute Service (HCS) \" src=\"https:\/\/web.archive.org\/web\/20170210225926\/https:\/\/msdnshared.blob.core.windows.net\/media\/2017\/01\/Windows-Arch2-1024x718.png\" width=\"606\" height=\"425\"\/><br \/>(Quelle: Microsoft)<\/p>\n<p>Es besteht nun eine Sicherheitsl\u00fccke, die eine Remotecodeausf\u00fchrung erm\u00f6glicht, wenn die Windows Host Compute Service Shim (hcsshim)-Bibliothek die Eingaben beim Importieren eines Container-Images nicht ordnungsgem\u00e4\u00df validiert. Um die Schwachstelle auszunutzen, m\u00fcsste ein Angreifer b\u00f6sartigen Code in ein speziell erstelltes Container-Image einf\u00fcgen. Wird dieses von einem authentifizierten Administrator importiert, schl\u00e4gt die Malware zu. Sie k\u00f6nnte den Container-Verwaltungsdienst, der die Host Compute Service Shim-Bibliothek mit der Sicherheitsanf\u00e4lligkeit verwendet, veranlassen, b\u00f6sartigen Code auf dem Windows-Host auszuf\u00fchren. Sprich: Ein infizierter Container erlaubt Malware \u00fcber die hcsshim-Bibiliothek aus dem Container auszubrechen und sich auf dem Windows-Host auszubreiten. <\/p>\n<p>Microsoft kennt keine L\u00f6sung, um diese Schwachstelle abzumildern und schreibt, dass es keine Problemumgehung f\u00fcr diese Sicherheitsanf\u00e4lligkeit im Zusammenhang mit Container-Images (Docker usw.) gibt. Eine gepatchte hcsshim-Datei kann von GitHub <a href=\"https:\/\/github.com\/Microsoft\/hcsshim\/releases\/tag\/v0.6.10\" target=\"_blank\" rel=\"noopener noreferrer\">heruntergeladen<\/a> werden. Es handelt sich imho um Go-Quellcode, der in das betreffende Verzeichnis der hcsshim-Bibiliothek zu kopieren ist. Der Fehler trifft nur Szenarien, wo Container unter Windows verwendet werden.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>Microsoft k\u00fcndigt Windows 10 April 2018 Update zum 30.4. an<br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/04\/27\/windows-10-april-update-iso-installationsabbild-herunterladen\/\">Windows 10 April Update: ISO-Installationsabbild herunterladen<\/a><br \/>Windows 10 Version 1803: Update KB4135051 (Insider Preview)<br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/05\/02\/windows-10-april-update-neuerungen-und-timeline-anschaut\/\">Windows 10 April Update \u2013 Neuerungen und Timeline angeschaut<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/05\/02\/windows-10-v1803-erzeugt-neue-oem-recovery-partition\/\">Windows 10 V1803: Erzeugt neue OEM-\/Recovery-Partition<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/05\/03\/windows-10-v1803-das-ist-entfallen-wird-eingestellt\/\">Windows 10 V1803: Das ist entfallen\/wird eingestellt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[German]Momentan rappelt es bei der Sicherheit von Windows 10. Die von Microsoft heraus gegebenen Meltdown-Patches f\u00fcr Windows 10 rei\u00dfen eine weitere Sicherheitsl\u00fccke. Diese ist in Windows 10 Version 1803 geschlossen, aber Updates f\u00fcr \u00e4ltere Windows 10-Builds sind erst in Arbeit. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/05\/03\/windows-10-meltdown-patch-bypass-und-windows-host-compute-service-shim-sicherheitslcken\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[6753,4328,4378],"class_list":["post-203902","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-meltdown","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203902","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=203902"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203902\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=203902"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=203902"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=203902"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}