{"id":227152,"date":"2020-01-18T08:30:11","date_gmt":"2020-01-18T07:30:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227152"},"modified":"2023-01-12T12:51:01","modified_gmt":"2023-01-12T11:51:01","slug":"warnung-0-day-schwachstelle-im-internet-explorer-17-1-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/18\/warnung-0-day-schwachstelle-im-internet-explorer-17-1-2020\/","title":{"rendered":"Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020)"},"content":{"rendered":"

[English<\/a>]Microsoft hat zum 17. Januar 2020 einen Sicherheitshinweis zu einer 0-Day-Schwachstelle im Internet Explorer ver\u00f6ffentlicht, der praktisch alle Windows-Versionen betrifft (da der Internet Explorer dort als Browser vorhanden ist). Es gibt ein Problem im JScript-Teil, das zu einer Remote Code-Ausf\u00fchrung genutzt werden k\u00f6nnte. Hier einige Informationen, auch wie man das per Workaround entsch\u00e4rfen kann.<\/p>\n

<\/p>\n

Internet Explorer 0-Day-Schwachstelle<\/h2>\n

\"\"Zum 17. Januar 2020 hat Microsoft eine Sicherheitswarnung vor einer Zero-Day-Schwachstelle im Internet Explorer ver\u00f6ffentlicht, f\u00fcr die es keinen Patch gibt. Laut\u00a0 Catalin Cimpanu<\/a> hatte der chinesische Sicherheitsanbieter Qihoo 360 das letzte Woche kurz auf Twitter angerissen, den Tweet aber wieder gel\u00f6scht. Hier die Sicherheitsmeldung von Microsoft:<\/p>\n

**************************************************************
\nTitle: Microsoft Security Advisory Notification
\nIssued: January 17, 2020
\n**************************************************************<\/p>\n

Security Advisories Released or Updated on January 17, 2020
\n=================================================<\/p>\n

* Microsoft Security Advisory ADV200001<\/p>\n

– ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
\n– Reason for Revision: Information published.
\n– Originally posted: January 17, 2020
\n– Updated: N\/A
\n– Version: 1.0<\/p>\n

In der Scripting Engine, die auch vom Internet Explorer verwendet wird, gibt es eine Memory Corruption-Schwachstelle.<\/p>\n

A remote code execution vulnerability exists in the way that the scripting engine handles objects in memory in Internet Explorer. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.<\/p><\/blockquote>\n

Bei der Ausf\u00fchrung von Objekten durch die Scripting Engine im Internet Explorer kann es zu Speicher\u00fcberl\u00e4ufen bzw. \u2013Besch\u00e4digungen kommen.<\/p>\n

RCE-Codeausf\u00fchrung m\u00f6glich<\/h3>\n

Die Sicherheitsanf\u00e4lligkeit k\u00f6nnte den Speicher so besch\u00e4digen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausf\u00fchren kann. Diese Schwachstelle kann eine Remote Code-Ausf\u00fchrung (RCE) erm\u00f6glichen.<\/p>\n

Ein Angreifer, der die Sicherheitsanf\u00e4lligkeit erfolgreich ausnutzen erhalten aber nur die gleichen Benutzerrechte wie der aktuelle Benutzer. Ist der aktuelle Benutzer aber mit administrativen Benutzerrechten angemeldet, erh\u00e4lt der Angreifer, die M\u00f6glichkeit, eventuell die Kontrolle \u00fcber ein betroffenes System zu \u00fcbernehmen. Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen.<\/p>\n

Problem ist, dass ein Angreifer in einem webbasierten Angriffsszenario eine speziell gestaltete Website hosten k\u00f6nnte, die die Sicherheitsanf\u00e4lligkeit \u00fcber Internet Explorer ausnutzt. Dann k\u00f6nnte er versuchen, einen Benutzer dazu bringen, die Website (z. B. durch Senden einer E-Mail mit einem entsprechenden Link) anzuzeigen.<\/p>\n

Kritisch, aber beherrschbar<\/h3>\n

Microsoft stuft die Schwachstelle, die in allen unterst\u00fctzten Windows-Systemen existiert, zwar auf einigen Windows-Versionen als kritisch ein. Standardm\u00e4\u00dfig wird der Internet Explorer unter Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 und Windows Server 2019 aber in einem eingeschr\u00e4nkten Modus ausgef\u00fchrt, der als erweiterte Sicherheitskonfiguration bezeichnet wird.<\/p>\n

Diese Sicherheitskonfiguration verwendet eine Gruppe von vorkonfigurierten Einstellungen in Internet Explorer, die die Wahrscheinlichkeit verringern kann, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterl\u00e4dt und ausf\u00fchrt. Dies ist ein abschw\u00e4chender Faktor f\u00fcr Websites, die Sie nicht zur Zone der vertrauensw\u00fcrdigen Sites in Internet Explorer hinzugef\u00fcgt haben.<\/p>\n

Workaround: ggf. JScript.dll deaktivieren<\/h3>\n

Als Workaround schl\u00e4gt Microsoft vor, den Zugriff auf die JScript.dll<\/em> zu deaktivieren. F\u00fcr 32-Bit Systeme sind folgende Befehle in einer administrativen Eingabeaufforderung auszuf\u00fchren.<\/h4>\n
    takeown \/f %windir%\\system32\\jscript.dll\r\n    cacls %windir%\\system32\\jscript.dll \/E \/P everyone:N\r\n<\/code><\/pre>\n
Beachtet aber bei einem deutschen Windows meine nachfolgenden Hinweise, falls cacls<\/em> einen Fehler wirft. F\u00fcr 64-Bit Systeme sind folgende Befehle in einer administrativen Eingabeaufforderung auszuf\u00fchren.<\/p>\n
    takeown \/f %windir%\\syswow64\\jscript.dll\r\n    cacls %windir%\\syswow64\\jscript.dll \/E \/P everyone:N\r\n    takeown \/f %windir%\\system32\\jscript.dll\r\n    cacls %windir%\\system32\\jscript.dll \/E \/P everyone:N<\/code><\/pre>\n
Achtung<\/strong>: Die obigen Befehle beziehen sich auf eine englische Windows-Version. In einem deutschen Windows wirft der cacls-Befehl einen Fehler bei der Ausf\u00fchrung. Denn hat Microsoft in der betreffenden Windows-Version auch die Gruppen lokalisiert. Im deutschsprachigen Windows muss dann statt der Gruppe 'everyone' ein 'jeder' als Attribut verwendet werden. Also so was wie:<\/p>\n
cacls %windir%\\syswow64\\jscript.dll \/E \/P jeder:N<\/p>\n
Danke an Bolko f\u00fcr den Kommentar mit dem Hinweis auf das Problem. Das ist auch wichtig, falls ihr die Hinweise Microsofts zur sp\u00e4teren Freigabe der Scripting Engine umsetzen wollt. Lest auch die weiteren Hinweise und Kommentare im Hinblick auf Kollateralsch\u00e4den – und fertigt euch ggf. einen Wiederherstellungspunkt bzw. besser ein Backup an, bevor ihr den Microsoft Workaround ausf\u00fchrt.<\/p>\n
Tipp:<\/strong> Ich habe mir die obigen vier Befehle sowie einen pause-Befehl als letzte Anweisung f\u00fcr mein Windows 7 SP1 in eine Batchdatei gespeichert, das 'everyone' gegen ein 'jeder' ausgetauscht und dann die Batchdatei \u00fcber 'Als Administrator ausf\u00fchren' gestartet. Der Batch ist dann sauber durchgelaufen, der pause-Befehl am Ende bewirkt, dass das Fenster der Eingabeaufforderung ge\u00f6ffnet bleibt und man die Statusmeldungen sehen kann. Zum Schlie\u00dfen einfach eine Taste dr\u00fccken. Hoffe, das hilft.<\/p><\/blockquote>\n
Damit wird der Zugriff auf die jscript.dll<\/em> f\u00fcr jeden Benutzer gesperrt und die Sicherheitsanf\u00e4lligkeit l\u00e4sst sich nicht mehr ausnutzen. Die Implementierung dieser Schritte f\u00fchrt zu einer reduzierten Funktionalit\u00e4t f\u00fcr Komponenten oder Features, die auf jscript.dll<\/em> angewiesen sind. Falls es zu Problemen kommt, dass Anwendungen nicht mehr laufen, enth\u00e4lt der Artikel Anweisungen, um die DLL wieder freizugeben.<\/p>\n
Standardm\u00e4\u00dfig verwenden IE11, IE10 und IE9 die Datei \"Jscript9.dll\", die von dieser Sicherheitsanf\u00e4lligkeit nicht betroffen ist. Diese Sicherheitsanf\u00e4lligkeit betrifft nur bestimmte Websites, die Jscript als Skript-Engine verwenden. Weitere Details sind dem Microsoft-Beitrag ADV200001 zu entnehmen.<\/p>\n
Leider Kollateralsch\u00e4den!<\/h3>\n
Erg\u00e4nzung:<\/strong> Beachtet aber die auch in nachfolgenden Kommentaren bereits aufgef\u00fchrten Hinweise. So hat die obige Ma\u00dfnahme eine Reihe Kollateralsch\u00e4den – alles, was JScript (und die Bibliothek) ben\u00f6tigt, wird nicht mehr funktionieren. So gibt es den Hinweis, dass das Login an Microsoft Online-Konten im IE nicht mehr funktioniert. Und folgender Tweet deutet an, dass das Bitlocker Recovery Probleme macht.<\/p>\n
\n
Is it possible that the workaround to disable JScript.dll breaks bitlocker recovery method? #jscript<\/a> #ZeroDay<\/a><\/p>\n
\u2014 Manfred Martin (@freddyz2001) January 19, 2020<\/a><\/p><\/blockquote>\n