![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Kleine Info f\u00fcr Administratoren in Firmenumgebungen. Der Anbieter 0patch stellt einen 0day-Patch f\u00fcr die kritische Sicherheitsl\u00fccke CVE-2018-8174 (Windows VBScript Engine) bereit. Hilfreich f\u00fcr diejenigen von euch, die die Mai 2018-Updates wegen Problemen mit dem Netzwerk nicht installieren k\u00f6nnen.<\/p>\n
<\/p>\n
In Windows gibt es eine kritische Remote Code Execution-Sicherheitsl\u00fccke CVE-2018-8174 in der Windows VBScript Engine. Das Ganze ist wohl Kaspersky-Sicherheitsforschern aber auch chinesischen Sicherheitsforschern von 360 aufgefallen, die das Ganze an Microsoft gemeldet haben. Microsoft schreibt in den Security Guidances zu CVE-2018-8174:<\/p>\n
\nA remote code execution vulnerability exists in the way that the VBScript engine handles objects in memory. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. <\/p>\n
In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit the vulnerability through Internet Explorer and then convince a user to view the website. An attacker could also embed an ActiveX control marked \"safe for initialization\" in an application or Microsoft Office document that hosts the IE rendering engine. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements. These websites could contain specially crafted content that could exploit the vulnerability. <\/p>\n
The security update addresses the vulnerability by modifying how the scripting engine handles objects in memory.<\/p>\n<\/blockquote>\n
Es handelt sich also um ein Remote ausnutzbare Sicherheitsl\u00fccke der VBScript-Engine. Ein Angreifer k\u00f6nnte eine speziell gestaltete Website hosten, die die Sicherheitsl\u00fccke \u00fcber den Internet Explorer ausnutzt. Ein Angreifer k\u00f6nnte auch ein ActiveX-Steuerelement, das als \"sicher f\u00fcr die Initialisierung\" markiert ist, in eine Anwendung oder ein Microsoft Office-Dokument einbetten, das die IE-Rendering-Engine hostet. <\/p>\n
Die Schwachstelle k\u00f6nnte den Speicher so besch\u00e4digen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausf\u00fchren k\u00f6nnte. Ein Angreifer, der die Sicherheitsl\u00fccke erfolgreich ausnutzt, kann dieselben Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der die Sicherheitsl\u00fccke erfolgreich ausgenutzt hat, die Kontrolle \u00fcber ein betroffenes System \u00fcbernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen.<\/p>\n
Ist doch gepatcht, wo ist das Problem?<\/h2>\n
Im Security TechCenter listet Microsoft f\u00fcr Windows 7 bis Windows 10 separate Updates auf, die dieses kritische Sicherheitsl\u00fccke schlie\u00dfen. Diese Updates stehen seit dem 8. Mai 2018 bereit. Also alles im gr\u00fcnen Bereich?<\/p>\n
Bei Askwoody bin ich zuf\u00e4llig<\/a> auf einen Hinweis zum Thema gesto\u00dfen und habe noch etwas recherchiert. Es gibt Probleme auf manchen Systemen, dass im Anschluss das Netzwerk fehlt \u2013 weil der Netzwerktreiber deinstalliert wurde und sich nach Installation der Sicherheitsupdates nicht mehr nachinstallieren l\u00e4sst. Microsoft hat diesen Fehler inzwischen in den KB-Artikeln der betroffenen Updates nachgetragen. Ich habe im Blog-Beitrag Windows 7 SP1: Netzwerk-Bug durch KB4103718\/KB4103712<\/a> das Thema aufgegriffen und Details genannt. <\/p>\n
0day-Patch f\u00fcr CVE-2018-8174 von 0patch <\/h2>\n
Wer in diese Falle rauscht, kann gegebenenfalls die von opatch angebotene L\u00f6sung verwenden, um die Schwachstelle CVE-2018-8174 in der VBScript Engine abzudichten. Der Anbieter opatch ist dabei kein Unbekannter \u2013 fokussiert er sich doch darauf ungepachte Zero-Day-L\u00fccken durch 0-day-Patches abzuschw\u00e4chen (siehe Linkliste am Artikelende zu FoxIt, Office und GDI). <\/p>\n
Woody Leonhard ist nun aufgefallen<\/a>, dass die Macher von 0patch den Blog-Beitrag Windows Updates Broke Your Networking? Free Micropatches To The Rescue (CVE-2018-8174)<\/a> ver\u00f6ffentlicht haben. Der Beitrag adressiert genau die kritische Remote Execution-Sicherheitsl\u00fccke CVE-2018-8174 in der VBScript Engine. <\/p>\n
Im Blog-Beitrag wird die eigentliche Sicherheitsl\u00fccke samt einem Exploit beschrieben. Und am Ende des Blog-Beitrags findet sich ein Download-Link auf den kostenlosen 0patch Agenten. Mit dessen Hilfe und den beiden Dateien ZP-320 und ZP-321 l\u00e4sst sich die L\u00fccke in oleaut32.dll<\/em> unter Windows 7 und Windows 2008 Server schlie\u00dfen. Hierzu muss der oPatch-Assistent installiert sein und man ben\u00f6tigt ein Konto bei deinen. Dann werden die beiden oben genannten Patches im Dashboard angeboten und lassen sich anwenden. Vielleicht hilft es Betroffenen.<\/p>\n
\u00c4hnliche Artikel:
<\/strong>Microsoft Office Patchday (1. Mai 2018)<\/a>
Adobe Flash Player Update auf Version 29.0.0.171
Zusammenfassung der Microsoft Sicherheitsupdates 8.5.2018<\/a>
Patchday: Windows 10-Updates 8. Mai 2018<\/a>
Patchday: Updates f\u00fcr Windows 7\/8.1\/Server Mai 2018
<\/a>Patchday Microsoft Office Updates (8. Mai 2018)<\/a>
Windows 7 SP1: Netzwerk-Bug durch KB4103718\/KB4103712<\/a> <\/p>\nDrittanbieter 0Patch f\u00fcr FoxIt-Sicherheitsl\u00fccke<\/a>
Microsoft Office Formeleditor 3.0 reaktivieren<\/a>
Tempor\u00e4rer Fix f\u00fcr Windows GDI-Sicherheitsl\u00fccke<\/p>\n","protected":false},"excerpt":{"rendered":"Kleine Info f\u00fcr Administratoren in Firmenumgebungen. Der Anbieter 0patch stellt einen 0day-Patch f\u00fcr die kritische Sicherheitsl\u00fccke CVE-2018-8174 (Windows VBScript Engine) bereit. Hilfreich f\u00fcr diejenigen von euch, die die Mai 2018-Updates wegen Problemen mit dem Netzwerk nicht installieren k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[6999,4328,4325],"class_list":["post-204322","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-cve-2018-8174","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204322","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204322"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204322\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204322"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204322"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204322"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}