{"id":227276,"date":"2020-01-21T19:49:07","date_gmt":"2020-01-21T18:49:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227276"},"modified":"2023-01-12T12:51:01","modified_gmt":"2023-01-12T11:51:01","slug":"0patch-fix-fr-internetexplorer-0day-schwachstelle-cve-2020-0674","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/21\/0patch-fix-fr-internetexplorer-0day-schwachstelle-cve-2020-0674\/","title":{"rendered":"0patch: Fix f&uuml;r Internet Explorer 0-day-Schwachstelle CVE-2020-0674"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/11\/IE.jpg\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/01\/21\/0patch-fix-for-internet-explorer-0-day-vulnerability-cve-2020-0674\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Von 0patch gibt es seit heute einen Fix f\u00fcr die 0-day-Schwachstelle CVE-2020-0674 in der JScript-Bibliothek des Internet Explorers, die vor einigen Tagen \u00f6ffentlich wurde. Hier einige Informationen, was ich bisher herausgefunden habe \u2013 der Beitrag wird bei neuen Erkenntnissen aktualisiert.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es bei CVE-2020-0674?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/a67f3b63b56f49f3b8ffe7c75de810bc\" width=\"1\" height=\"1\"\/>Microsoft hat zum 17. Januar 2020 einen Sicherheitshinweis ADV200001 zu einer 0-Day-Schwachstelle (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-0674\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0674<\/a> ist reserviert daf\u00fcr) im Internet Explorer ver\u00f6ffentlicht. Die Schwachstelle betrifft den IE 9, 10, und 11 und tangiert praktisch alle Windows-Versionen (da der Internet Explorer dort als Browser enthalten ist).<\/p>\n<p>In der Scripting Engine, die auch vom Internet Explorer verwendet wird, gibt es eine Memory Corruption-Schwachstelle. Bei der Ausf\u00fchrung von Objekten durch die Scripting Engine im Internet Explorer kann es zu Speicher\u00fcberl\u00e4ufen bzw. \u2013Besch\u00e4digungen kommen. Das hat zur Konsequenz, dass Angreifer \u00fcber pr\u00e4parierte Webseiten den Speicher des IE so besch\u00e4digen k\u00f6nnen, dass sich remote Code einschleusen und ausf\u00fchren lie\u00dfe. <\/p>\n<p>Ein Angreifer, der die Sicherheitsanf\u00e4lligkeit erfolgreich ausnutzen erhalten aber nur die gleichen Benutzerrechte wie der aktuelle Benutzer. Ist der aktuelle Benutzer aber mit administrativen Benutzerrechten angemeldet, erh\u00e4lt der Angreifer, die M\u00f6glichkeit, eventuell die Kontrolle \u00fcber ein betroffenes System zu \u00fcbernehmen. Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen.<\/p>\n<p>Das ist zwar nur ein Worst Case-Szenario, \u00fcber das ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/18\/warnung-0-day-schwachstelle-im-internet-explorer-17-1-2020\/\">Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020)<\/a> berichtete. Dort habe ich auch den von Microsoft vorgeschlagenen Workaround vorgeschlagen, der aber einige Kollateralsch\u00e4den verursacht. <\/p>\n<ul>\n<li>Windows Media Player kann kein <a href=\"https:\/\/www.askwoody.com\/forums\/topic\/yet-another-jscript-vulnerability\/#post-2086829\" target=\"_blank\" rel=\"noopener noreferrer\">MP4-Dateien mehr wiedergeben<\/a>.  <\/li>\n<li>Die Systemdateipr\u00fcfung <em>sfc <\/em>(Resource Checker) verschluckt sich an der <a href=\"https:\/\/www.askwoody.com\/forums\/topic\/yet-another-jscript-vulnerability\/#post-2086857\" target=\"_blank\" rel=\"noopener noreferrer\">jscript.dll-Datei<\/a> wenn die Zugriffsrechte ge\u00e4ndert werden.  <\/li>\n<li>Drucken mit <a href=\"https:\/\/www.askwoody.com\/forums\/topic\/yet-another-jscript-vulnerability\/#post-2087468\" target=\"_blank\" rel=\"noopener noreferrer\">\"Microsoft Print to PDF\"<\/a> ist kaputt.  <\/li>\n<li>Automatische Proxy-Konfigurationsskripte (PAC-Skripte) funktionieren m\u00f6glicherweise nicht.<\/li>\n<\/ul>\n<p>Schon etwas heavy, aber Microsoft will diese Schwachstelle nicht zeitnah mit einem au\u00dferplanm\u00e4\u00dfigen Patch schlie\u00dfen. Geplant ist vielmehr, zum Februar 2020-Patchday ein Update f\u00fcr die unterst\u00fctzten Windows-Versionen ausliefern. Ob Windows 7 SP1 und Windows Server 2008 R2 au\u00dferhalb des ESU-Programms einen Patch erh\u00e4lt, ist vollst\u00e4ndig offen \u2026<\/p>\n<h2>0patch liefert einen Fix<\/h2>\n<p>War ein 'Lackmus-Test' f\u00fcr mich, wie lange es dauert, bis 0patch da was ver\u00f6ffentlicht. Ich stehe ja mit Mitja Kolsek, dem CEO von ACROS Security und Mitbegr\u00fcnder von 0patch, in Kontakt, weil ich auch was zu 0patch-L\u00f6sungen f\u00fcr Windows 7 SP plane. Eben hat mich Mitja Kolsek per privater Twitter-Meldung auf die von seiner Firme entwickelte 0patch-L\u00f6sung aufmerksam gemacht. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Video of micropatch in action <a href=\"https:\/\/t.co\/dL7qxdA9hg\">https:\/\/t.co\/dL7qxdA9hg<\/a><\/p>\n<p>\u2014 0patch (@0patch) <a href=\"https:\/\/twitter.com\/0patch\/status\/1219644952189247488?ref_src=twsrc%5Etfw\">January 21, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Im Blog-Beitrag <a href=\"https:\/\/blog.0patch.com\/2020\/01\/micropatching-workaround-for-cve-2020.html\">Micropatching a Workaround for CVE-2020-0674<\/a> beschreibt Mitja Kolsek den 'Kill Switch' f\u00fcr die Schwachstelle in der Bibliothek <em>jscript.dll<\/em>. Seine Mannschaft hat einen Testfall zum Laden der <em>jscript.dll<\/em> gefunden, der von Googles Project Zero beschrieben wurde. Damit hat man dann diese DLL auf die Schwachstelle untersucht. Im Anschluss war es m\u00f6glich, einen Mikropatch f\u00fcr die Schwachstelle zu entwickeln. Die 0patch-Entwickler haben diesen Micropatch auf die folgenden Plattformen, f\u00fcr 32-Bit und 64-Bit, portiert:<\/p>\n<p>Windows 7,<br \/>Windows 10 v1709,<br \/>Windows 10 v1803, <br \/>Windows 10 v1809, <br \/>Windows Server 2008 R2, <br \/>Windows Server 2019 <\/p>\n<p>0patch-Benutzer haben diesen Micropatch, so der Anbieter, bereits mit dem 0patch-Agenten auf alle Windows-Systeme, die online gehen k\u00f6nnen, heruntergeladen und &#8211; je nach Einstellungen &#8211; bereits automatisch auf alle Prozesse angewendet, die die Internet Explorer 11-Engine zum Rendern von Inhalten verwenden. Dazu geh\u00f6ren (nat\u00fcrlich) Internet Explorer, Microsoft Word, Microsoft Outlook und eine Vielzahl anderer Anwendungen. Das in obigem Tweet verlinkte YouTube-Video zeigt den Einsatz.<\/p>\n<h2>0patch-Agent und \u2013Konto erforderlich<\/h2>\n<p>Zur Nutzung des Mikropatches wird der 0patch-Agent ben\u00f6tigt, der sich kostenlos von der <a href=\"https:\/\/0patch.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">opatch-Webseite<\/a> herunterladen und dann unter Windows installieren l\u00e4sst. Der Installer und der Agent ben\u00f6tigt zur Ausf\u00fchrung Administratorrechte.<\/p>\n<p><img decoding=\"async\" title=\"0patch-Agent install\" alt=\"0patch-Agent install\" src=\"https:\/\/i.imgur.com\/GqepMUA.jpg\"\/><\/p>\n<p>Die Bedienung erfolgt \u00fcber die 0patch-Konsole, die per Windows-Startmen\u00fc aufrufbar ist. Zum Abrufen der Mikropatches in der 0patch-Konsole ben\u00f6tigt man ein Benutzerkonto beim Anbieter 0patch. F\u00fcr private Einsatzzwecke wird ein Free-Account angeboten, den ich mal testweise mit einer E-Mail-Adresse angelegt habe. F\u00fcr Firmen gibt es auch kostenpflichtige Kontenvarianten. <\/p>\n<p><a href=\"https:\/\/i.imgur.com\/eIZUBny.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"0patch Console\" alt=\"0patch Console\" src=\"https:\/\/i.imgur.com\/eIZUBny.jpg\" width=\"631\" height=\"473\"\/><\/a><\/p>\n<p>Der hier im Free-Account aufgef\u00fchrte JScript-DLL-Patch bezieht sich aber auf eine Memory Corruption-Schwachstelle <a href=\"https:\/\/portal.msrc.microsoft.com\/de-DE\/security-guidance\/advisory\/CVE-2019-1429\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2019-1429<\/a> von November 2019 (habe ich auf dem Testsystem noch nicht gepatcht, da der IE11 nicht genutzt wird). Der 0patch-Agent zeigt also, ob nicht gefixte Schwachstellen vorhanden sind. <\/p>\n<p><a href=\"https:\/\/i.imgur.com\/0TSCota.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"0patch: installed patches\" alt=\"0patch: installed patches\" src=\"https:\/\/i.imgur.com\/0TSCota.jpg\" width=\"626\" height=\"470\"\/><\/a><\/p>\n<p>Erg\u00e4nzung: Den Mikropatch f\u00fcr die aktuelle Schwachstelle CVE-2020-0674 habe ich dann (nach einem Hinweis von Mitja Kolsek) unter 'Installed Patches' unter den Nummern 402-404 f\u00fcr die mshtml.dll gefunden. Coole Sache.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/01\/18\/warnung-0-day-schwachstelle-im-internet-explorer-17-1-2020\/\">Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/01\/19\/windows-7-und-tschss-internet-explorer-11-supportende\/\">Windows 7: Und Tsch\u00fcss Internet Explorer 11 (Supportende)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Von 0patch gibt es seit heute einen Fix f\u00fcr die 0-day-Schwachstelle CVE-2020-0674 in der JScript-Bibliothek des Internet Explorers, die vor einigen Tagen \u00f6ffentlich wurde. Hier einige Informationen, was ich bisher herausgefunden habe \u2013 der Beitrag wird bei neuen Erkenntnissen aktualisiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694,2557],"tags":[2732,4328,4325],"class_list":["post-227276","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","category-windows-server","tag-internet-explorer-11","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227276"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227276\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}