{"id":230153,"date":"2020-04-01T00:14:00","date_gmt":"2020-03-31T22:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230153"},"modified":"2024-07-09T15:51:02","modified_gmt":"2024-07-09T13:51:02","slug":"windows-0-day-adv200006-per-gpo-abschwchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/01\/windows-0-day-adv200006-per-gpo-abschwchen\/","title":{"rendered":"Windows 0-day ADV200006 per GPO abschwächen"},"content":{"rendered":"

[English<\/a>]Kleiner Hinweis f\u00fcr Administratoren gro\u00dfer Windows-Umgebungen im Active Directory-Umfeld, die die 0-day-Schwachstelle ADV200006 stopfen m\u00fcssen. Eine Abschw\u00e4chung (Mitigation) ist mittels Gruppenrichtlinien m\u00f6glich. <\/p>\n

<\/p>\n

Die Windows 0-day-Schwachstelle ADV200006<\/h2>\n

\"\"In allen unterst\u00fctzten Windows-Versionen gibt es eine zwei ungepatchte Schwachstellen in der Adobe Type 1 Manager Library. Beide Schwachstellen erm\u00f6glichen eine Remote-Codeausf\u00fchrung, weil die Windows Adobe Type Manager Library eine speziell entwickelte Multi-Master-Schriftart \u2013 das Adobe Type 1 PostScript-Format \u2013 nicht korrekt verarbeitet. Ein Angreifer kann die Sicherheitsl\u00fccke ausnutzen, wenn er z. B. einen Benutzer dazu bringt, ein speziell gestaltetes Dokument zu \u00f6ffnen oder es im Windows-Vorschaufenster anzuzeigen.<\/p>\n

Die Information findet sich in ADV200006<\/a>, betroffen sind alle Windows-Versionen, von Windows 7 SP1 \u00fcber Windows 8.1 bis hin zu Windows 10 \u2013 und nat\u00fcrlich alle Server-Pendants. Auf Systemen mit Windows 10 kann ein erfolgreicher Angriff nur in einem AppContainer-Sandbox-Kontext stattfinden und erm\u00f6glicht somit nur begrenzte Berechtigungen und F\u00e4higkeiten zur Ausf\u00fchrung von Code. Hacker versuchen inzwischen diese Schwachstelle auszunutzen. Microsoft ist sich dieser Schwachstelle bewusst und arbeitet an einer L\u00f6sung, hat bisher aber keinen Patch vorgelegt. Ich erwarte diese zum regul\u00e4ren Patchday, am 14. April 2020. <\/p>\n

Schwachstellen per GPO abschw\u00e4chen<\/h2>\n

Von Microsoft gibt es f\u00fcr \u00e4ltere Betriebssysteme wie Windows 7 SP1 und Windows 8.1 sowie deren Server-Pendants Workarounds, um die Ausnutzbarkeit der Schwachstelle zu verhindern. Microsoft hat diese Workarounds in ADV200006<\/a> ver\u00f6ffentlicht. In gr\u00f6\u00dferen Firmenumgebungen sind diese Ans\u00e4tze aber nicht gangbar.  <\/p>\n

\n

FYI, i created a blog post which describes how to mitigate this in a large AD environment using GPOs – here is post link: https:\/\/t.co\/BtVt3ejZvw<\/a> #ActiveDirectory<\/a> #GPO<\/a> #ADV200006<\/a> pic.twitter.com\/kUUVIlEW4m<\/a><\/p>\n

\u2014 Sylvain Cortes (@sylvaincortes) March 29, 2020<\/a><\/p><\/blockquote>\n