{"id":227201,"date":"2020-01-20T12:49:24","date_gmt":"2020-01-20T11:49:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227201"},"modified":"2023-08-16T00:44:07","modified_gmt":"2023-08-15T22:44:07","slug":"patchday-probleme-mit-sccm-mcafee-crypt32-dll-jan-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/20\/patchday-probleme-mit-sccm-mcafee-crypt32-dll-jan-2020\/","title":{"rendered":"Patchday: Probleme mit SCCM, McAfee & Crypt32.dll (Jan 2020)?"},"content":{"rendered":"

\"Windows[English<\/a>]Gibt es eventuell Probleme im Zusammenhang mit dem letzten Patchday (Januar 2020), bei dem ja die Datei Crypt32.dll <\/em>gepatcht wurde. Ein Leser hat mir eine entsprechende Frage geschickt, wobei McAfee und der SCCM in seiner Umgebung werkeln. Aktuell scheint der McAfee den Zugriff des SCCM-Agenten smsexec.exe <\/em>auf eine RSA-Schl\u00fcssel zu blockieren.<\/p>\n

<\/p>\n

Hintergrund: Die NSA-Schwachstelle CVE-2020-0601<\/h2>\n

\"\"Zum Januar 2020-Patchday wurde ja die von der NSA entdeckte und an Microsoft gemeldete Schwachstelle CVE-2020-0601 \u00f6ffentlich. Zur Erinnerung: In der Bibliothek Crypt32.dll <\/em>(CryptoAPI) gibt es eine 'Spoofing-Schwachstelle' CVE-2020-0601<\/a>, die von Angreifern ausgenutzt werden k\u00f6nnte. Ein Angreifer h\u00e4tte die M\u00f6glichkeit, ein gef\u00e4lschtes Code-Signatur-Zertifikat zum Signieren einer b\u00f6sartigen ausf\u00fchrbaren Datei zu verwenden, ohne das Windows das merkt.<\/p>\n

Ein erfolgreicher Exploit k\u00f6nnte es dem Angreifer auch erm\u00f6glichen, Man-in-the-Middle-Angriffe durchzuf\u00fchren und vertrauliche Informationen \u00fcber Benutzerverbindungen zu der betroffenen Software zu entschl\u00fcsseln. Ich hatte im Blog-Beitrag Windows: Kommt heute ein kritischer Kryptografie-Patch?<\/a> sowie im Beitrag Windows: Neues zur NSA-Schwachstelle CVE-2020-0601<\/a> \u00fcber den Sachverhalt berichtet. Microsoft hat zudem am 14.1.2020 diesen Blog-Beitrag<\/a> ver\u00f6ffentlicht.<\/p>\n

Microsoft gibt an, dass Windows 10, Windows Server 2016 und 2019 betroffen sind und hat entsprechende cumulative Updates zum Schlie\u00dfen der Schwachstelle bereitgestellt (siehe CVE-2020-0601<\/a> und meinen Blog-Beitrag Patchday Windows 10-Updates (14. Januar 2020)<\/a>).<\/p>\n

Leserfrage zu Problemen<\/h2>\n

Heute ist mir von Blog-Leser Patrick D. eine Info zugegangen, in der er nachfragt, ob mir Probleme im Zusammenhang mit der gepatchten Crypt32.dl<\/em> bekannt seien. Ich stelle seine Informationen mal hier im Blog ein \u2013 vielleicht ist ja noch jemand betroffen und kann das best\u00e4tigen.<\/p>\n

Mir fiel nach den Patchday heute morgen folgendes im Zusammenspiel mit SCCM und McAfee auf.<\/p>\n

Event ID McAfee Endpoint Security from EventID=18060
\nNT AUTHORITY\\SYSTEM ran smsexec.exe, which tried to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys\\
\nb173a4ca6eeb3a8529b5390fef6b81be_abb57870-155d-4625-9eb2-c73c0e888e7d, violating the rule \"Malware Behavior : Windows EFS abuse\", and was blocked. For information about how to respond to this event, see KB85494. was raised.
\nEvent Descritpion:
\nEventID=18060<\/p>\n

Wenn man sich dann das File anschaut ist es ein Self Signed \"SMS User Service\" Zertifikat. Da gerade ja die Crypt32.dll gepatched wurde, k\u00f6nnte die schon daher r\u00fchren. Das Cert selbst ist noch valide.<\/p>\n

Des weiteren tritt dasselbe bei einer weiteren Software auf.<\/p>\n

Gab es bei ihnen schon Meldungen? Wir werden es jedenfalls an den Premiersupport&McAfee eskalieren.<\/p><\/blockquote>\n

Ich selbst habe sonst noch nichts dergleichen vernommen und das Web kennt auch noch nichts. Aber es schaut so aus, als ob der Agent smsexec.exe <\/em>(SCCM Microsoft SMS Agent Host service) von McAfee am Zugriff auf ein Zertifikat gehindert wird. Irgend jemand, der die Konstellation SCCM und gepatchte Windows 10\/Server-Systeme mit McAfee-Unternehmensl\u00f6sungen einsetzt, und das verifizieren kann?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Gibt es eventuell Probleme im Zusammenhang mit dem letzten Patchday (Januar 2020), bei dem ja die Datei Crypt32.dll gepatcht wurde. Ein Leser hat mir eine entsprechende Frage geschickt, wobei McAfee und der SCCM in seiner Umgebung werkeln. Aktuell scheint der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,301],"tags":[154,4315,3288],"class_list":["post-227201","post","type-post","status-publish","format-standard","hentry","category-update","category-windows","tag-probleme","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227201"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227201\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}