{"id":210507,"date":"2018-10-13T17:47:41","date_gmt":"2018-10-13T15:47:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=210507"},"modified":"2023-06-01T01:00:07","modified_gmt":"2023-05-31T23:00:07","slug":"windows-cve-2018-8423-cve-2018-8453-cve-2018-8495","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/10\/13\/windows-cve-2018-8423-cve-2018-8453-cve-2018-8495\/","title":{"rendered":"Windows: CVE-2018-8423; CVE-2018-8453, CVE-2018-8495"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2018\/10\/13\/windows-cve-2018-8423-cve-2018-8453-cve-2018-8495\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Im Oktober 2018 hat Microsoft einige Schwachstellen in Windows per Update geschlossen. Die Sicherheitsl\u00fccke CVE-2018-8495 wird wohl inzwischen aktiv ausgenutzt. F\u00fcr die (wohl unvollst\u00e4ndig gepatchte) Schwachstelle CVE-2018-8495 steht nun ein Proof-of-Concept (PoC) zur Verf\u00fcgung. Und die Schwachstelle CVE-2018-8423&nbsp; wurde wohl gepatcht. Hier einige Informationen dazu. <\/p>\n<p><!--more--><\/p>\n<h2>Exploit CVE-2018-8453 wird bereits ausgenutzt<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/ac4fb6c864e146828083956779e92aa9\" width=\"1\" height=\"1\"\/>Am 9.10.2018 hat Microsoft ein Sicherheitsupdate f\u00fcr die Win32k Elevation of Privilege-Schwachstelle CVE-2018-8453 f\u00fcr alle noch unterst\u00fctzten Windows-Versionen freigegeben. Die einzelnen Updates f\u00fcr die diversen Windows-Versionen sind auf <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2017-8743CVE-2018-8453\" target=\"_blank\" rel=\"noopener\">dieser Microsoft-Seite<\/a> abrufbar. <\/p>\n<p>Hier empfiehlt es sich, seine Systeme zeitnah zu patchen. Microsoft schreibt zwar, dass kein Angriff auf diese Schwachstelle bekannt sei (0 &#8211; Exploitation Detected). Aber Antivirus-Anbieter Kaspersky behauptet in nachfolgendem Tweet das Gegenteil. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">. <a href=\"https:\/\/twitter.com\/Microsoft?ref_src=twsrc%5Etfw\">@Microsoft<\/a> published their security bulletin, which patches CVE-2018-8453, among others. It is a <a href=\"https:\/\/twitter.com\/hashtag\/vulnerability?src=hash&amp;ref_src=twsrc%5Etfw\">#vulnerability<\/a> in <a href=\"https:\/\/twitter.com\/hashtag\/win32k?src=hash&amp;ref_src=twsrc%5Etfw\">#win32k<\/a>.sys discovered by us and reported to them on August 17. <a href=\"https:\/\/twitter.com\/Microsoft?ref_src=twsrc%5Etfw\">@Microsoft<\/a> confirmed the vulnerability and designated it CVE-2018-8453 <a href=\"https:\/\/t.co\/Oh5yotBJsO\">https:\/\/t.co\/Oh5yotBJsO<\/a><\/p>\n<p>\u2014 Kaspersky Lab (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/1050652632195330048?ref_src=twsrc%5Etfw\">12. Oktober 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>In <a href=\"https:\/\/securelist.com\/cve-2018-8453-used-in-targeted-attacks\/88151\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> schreiben die Sicherheitsforscher von Kaspersky, dass man eine begrenzte Anzahl an Angriffen im Mittleren Osten festgestellt habe, die genau diese Schwachstelle ausnutzen. Details finden sich im verlinkten Artikel.<\/p>\n<h2>CVE-2018-8423: Windows Shell Remote Code Execution<\/h2>\n<p>Die Schwachstelle <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2018-8495\" target=\"_blank\" rel=\"noopener\">CVE-2018-8423<\/a> beschreibt eine Windows Shell Remote Code Execution-Sicherheitsl\u00fccke, die von Microsoft als 'important' eingestuft wird. Die Sicherheitsl\u00fccke besteht bei der Ausf\u00fchrung von Remote-Code, wenn die Windows Shell unsachgem\u00e4\u00df mit URIs umgeht. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, k\u00f6nnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. <\/p>\n<p>Ist der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet, kann ein Angreifer die Kontrolle \u00fcber ein betroffenes System \u00fcbernehmen. Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen. <\/p>\n<p>Microsoft schreibt zudem: Ein Angreifer k\u00f6nnte eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Schwachstelle in Microsoft Edge auszunutzen. Er muss dann aber einen Benutzer davon \u00fcberzeugen, die Website zu besuchen. Der Angriff erfordert n\u00e4mlich eine spezifische Benutzerinteraktion, um den Remote Code auszuf\u00fchren. <\/p>\n<h3>Proof of Concept f\u00fcr CVE-2018-8423 <\/h3>\n<p>Ein Sicherheitsforscher beschreibt in <a href=\"https:\/\/leucosite.com\/Microsoft-Edge-RCE\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> einige Szenarien als Proof of Concept, wie diese Schwachstelle ausgenutzt werden k\u00f6nnte. Die Redaktion von heise.de hat sich in <a href=\"https:\/\/www.heise.de\/security\/meldung\/Jetzt-patchen-Proof-of-Concept-Code-fuer-Windows-Luecke-veroeffentlicht-4189565.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> am Thema abgearbeitet. <\/p>\n<p>Es empfiehlt sich also, vor allem in Umgebungen, wo viele Nutzer den Verlockungen des Web nicht wiederstehen k\u00f6nnen, sich um die Beseitigung dieser Schwachstelle zu k\u00fcmmern. Danke an Eina f\u00fcr <a href=\"https:\/\/borncity.com\/blog\/2018\/10\/10\/patchday-windows-10-updates-9-oktober-2018\/#comment-63938\">diesen Kommentar<\/a>.&nbsp; <\/p>\n<h3>CVE-2018-8423 unvollst\u00e4ndig gepatcht<\/h3>\n<p>Ich bin Freitag vom Anbieter 0patch darauf aufmerksam gemacht worden, dass der Fix von Microsoft f\u00fcr die Schwachstelle CVE-2018-8423 unvollst\u00e4ndig sei. Die 0patch-Leute schreiben:<\/p>\n<blockquote>\n<p>Diese Woche brachte [Microsoft \u00fcber] Windows Updates eine L\u00f6sung f\u00fcr die \"0day\"-Schwachstelle in der Jet Database Engine (CVE-2018-8423), die wir <a href=\"https:\/\/blog.0patch.com\/2018\/09\/outrunning-attackers-on-jet-database.html\" target=\"_blank\" rel=\"noopener\">zuvor microgepatcht haben<\/a>. <\/p>\n<p>Unsere Analyse hat gezeigt, dass diese offizielle L\u00f6sung fehlerhaft ist. Wir haben Microsoft dar\u00fcber informiert und ein weiteres Micropatch herausgegeben, um den offiziellen Patch zu beheben.<\/p>\n<\/blockquote>\n<p>Sprich: Kunden von 0patch, die eigentlich durch deren Mikropatch vor der Schwachstelle CVE-2018-8423 gesch\u00fctzt waren, finden sich nach dem Oktober 2018-Patchday in einer bl\u00f6den Situation. Wurde das Microsoft-Update installiert, deaktiviert dies den 0patch Mikropatch und die Schwachstelle k\u00f6nnte wieder ausgenutzt werden. <\/p>\n<p>Beim Schreibens dieses Blog-Beitrags gilt, dass vollst\u00e4ndig aktualisierte 32-Bit- und 64-Bit-Windows 10, Windows 8.1, Windows 7, Windows Server 2008 und Windows Server 2012-Systeme angreifbar sind. Die Entwickler von 0patch vermuten, dass die Schwachstelle in allen Windows-Versionen ungefixt ist, die die Version 4.0.9801.0 von msrd3x40.dll verwenden.<\/p>\n<p>0patch hat f\u00fcr seine Kunden daher einen weiteren Mikropatch f\u00fcr die Version 4.0.9801.0 von msrd3x40.dll entwickelt, der die von Microsoft unvollst\u00e4ndig geschlossene Schwachstelle schlie\u00dft. Die Details lassen sich in <a href=\"https:\/\/blog.0patch.com\/2018\/10\/patching-re-patching-and-meta-patching.html\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> nachlesen.<\/p>\n<h2>CVE-2018-8495 gepatcht<\/h2>\n<p>F\u00fcr die Microsoft JET Database Engine Remote Code Execution-Schwachstelle <a href=\"https:\/\/web.archive.org\/web\/20200831075807\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2018-8423\" target=\"_blank\" rel=\"noopener\">CVE-2018-8495<\/a> wurde von Microsoft am 10. Oktober 2018 ein Sicherheitsupdate f\u00fcr die unterst\u00fctzten Windows-Versionen bereitgestellt. Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, k\u00f6nnte die Kontrolle \u00fcber ein betroffenes System \u00fcbernehmen. Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, k\u00f6nnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.<\/p>\n<p>Um die Schwachstelle auszunutzen, muss ein Benutzer eine speziell gestaltete Microsoft JET Database Engine Datei \u00f6ffnen\/importieren. In einem E-Mail-Angriffsszenario k\u00f6nnte ein Angreifer die Schwachstelle ausnutzen, indem er eine speziell gestaltete Datei an den Benutzer sendet und ihn dann davon \u00fcberzeugt, die Datei zu \u00f6ffnen. Microsoft stuft die Ausnutzung dieser Schwachstelle als 'Exploitation Less Likely' ein. <\/p>\n<p>Diese Schwachstelle war bereits einige Tage bekannt, ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/09\/21\/windows-zero-day-schwachstelle-in-jet-engine-sept-2018\/\">Windows Zero-Day-Schwachstelle in Jet Engine (Sept. 2018)<\/a> dar\u00fcber berichtet. Die Entwickler von 0patch hatten einen Mikropatch f\u00fcr ihre Kunden erstellt. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Note to 0patch users: Today's Windows updates bring an official fix for the Jet Database issue (CVE-2018-8423). The DLL we micropatched gets replaced, so our micropatch automatically stops getting applied. You don't have to do anything else. <a href=\"https:\/\/t.co\/x9nRSaSn4G\">https:\/\/t.co\/x9nRSaSn4G<\/a><\/p>\n<p>\u2014 0patch (@0patch) <a href=\"https:\/\/twitter.com\/0patch\/status\/1049747700516827136?ref_src=twsrc%5Etfw\">9. Oktober 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>In obigem Tweet informiert 0patch nun seine Nutzer dar\u00fcber, dass die 0patch-L\u00f6sung automatisch mit dem Einspielen des Microsoft-Updates deaktiviert wird. <\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong>Adobe Flash Player: Update Version 31.0.0.122<br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/10\/10\/microsoft-security-update-summary-9-oktober-2018\/\">Microsoft Security Update Summary 9. Oktober 2018<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/10\/10\/patchday-windows-10-updates-9-oktober-2018\/\">Patchday Windows 10-Updates (9. Oktober 2018)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/10\/10\/patchday-updates-fr-windows-7-8-1-server-9-okt-2018\/\">Patchday: Updates f\u00fcr Windows 7\/8.1\/Server 9. Okt. 2018<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/?p=210412\">Patchday Microsoft Office Updates (9. Oktober 2018)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/10\/11\/microsoft-patchday-weitere-updates-zum-9-oktober-2018\/\">Microsoft Patchday: Weitere Updates zum 9. Oktober 2018<\/a>  <\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2018\/10\/12\/windows-10-okt-2018-updates-erzeugen-bsod-wdf-violation\/\">Windows 10 Okt. 2018-Updates erzeugen BSOD 'WDF Violation'<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/10\/12\/microsoft-patchday-nachlesen-9-oktober-2018\/\">Microsoft Patchday-Nachlese (9. Oktober 2018)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/09\/21\/windows-zero-day-schwachstelle-in-jet-engine-sept-2018\/\">Windows Zero-Day-Schwachstelle in Jet Engine (Sept. 2018)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Im Oktober 2018 hat Microsoft einige Schwachstellen in Windows per Update geschlossen. Die Sicherheitsl\u00fccke CVE-2018-8495 wird wohl inzwischen aktiv ausgenutzt. F\u00fcr die (wohl unvollst\u00e4ndig gepatchte) Schwachstelle CVE-2018-8495 steht nun ein Proof-of-Concept (PoC) zur Verf\u00fcgung. Und die Schwachstelle CVE-2018-8423&nbsp; wurde wohl &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/10\/13\/windows-cve-2018-8423-cve-2018-8453-cve-2018-8495\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[4328,4315,4325],"class_list":["post-210507","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-sicherheit","tag-update","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210507","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210507"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210507\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210507"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210507"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210507"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}