{"id":230406,"date":"2020-04-04T06:07:06","date_gmt":"2020-04-04T04:07:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230406"},"modified":"2022-07-21T14:35:19","modified_gmt":"2022-07-21T12:35:19","slug":"0patch-schliet-windows-7-schwachstelle-cve-2020-0729","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/04\/0patch-schliet-windows-7-schwachstelle-cve-2020-0729\/","title":{"rendered":"0patch schließt Windows 7 LNK-Schwachstelle CVE-2020-0729"},"content":{"rendered":"

\"win7\"[English<\/a>]Das Team von ACROS Security hat mich vor wenigen Stunden informiert, dass es einen Micropatch f\u00fcr die \"Stuxnet-artige\" kritische LNK RCE-Schwachstelle CVE-2020-0729 freigegeben hat. Diese wird \u00fcber den 0patch-Agenten f\u00fcr ungepatchte Windows 7 SP1- und Windows Server 2008 R2-Systeme verteilt.<\/p>\n

<\/p>\n

Die LNK RCE-Schwachstelle CVE-2020-0729<\/h2>\n

\"\"Bei CVE-2020-0729 handelt es sich um eine Remote Code Execution-Schwachstelle, die von Microsoft in diesem Advisory<\/a> am 11. Februar 2020 beschrieben wurde. Die Schwachstelle existiert in der Verarbeitung von LNK-Dateien. Angreifer k\u00f6nnen  dem Benutzer ein Wechsellaufwerk oder eine Remote-Freigabe pr\u00e4sentieren, wo eine LNK-Datei mit einem Verweis auf eine zugeh\u00f6rige b\u00f6sartige Bin\u00e4rdatei gespeichert ist. \u00d6ffnet der Benutzer die auf dem Laufwerk (oder der Remote-Freigabe) gespeicherte .LNK-Datei im Windows Explorer bzw. in einer Anwendung, die die LNK-Datei analysiert, wird die b\u00f6sartige Bin\u00e4rdatei auf dem Zielsystem ausgef\u00fchrt. <\/p>\n

Ein Angreifer, der diese Sicherheitsanf\u00e4lligkeit erfolgreich ausnutzt, k\u00f6nnte die gleichen Benutzerrechte wie der lokale Benutzer erhalten. Benutzer mit eingeschr\u00e4nkten Konten sind weniger betroffen als Leute, die mit administrativen Benutzerrechten arbeiten. Microsoft sieht die Ausnutzung der Schwachstelle in diesem Advisory<\/a> vom 11. Februar 2020 als 'wenig wahrscheinlich' an. Es wurden aber beim Februar 2020 Patchday Sicherheitsupdates f\u00fcr alle noch unterst\u00fctzten Windows-Versionen, von Windows 7 SP1 bis Windows 10 und Windows Server 2008 bis Windows Server 2019 ver\u00f6ffentlicht. <\/p>\n

Eine ausf\u00fchrliche Analyse der Remote Code Execution-Schwachstelle CVE-2020-0729 wurde von der Zero-Day-Initiative (ZDI) zum 26. M\u00e4rz 2020 in diesem Artikel<\/a> offen gelegt. <\/p>\n

Der 0patch-Microfix f\u00fcr CVE-2020-0729 <\/h2>\n

F\u00fcr Windows 7 SP1 sowie Windows Server 2008\/R2 wird das Update jedoch nur an Kunden im Unternehmensumfeld verteilt, die eine ESU-Lizenz f\u00fcr die betreffenden Maschinen besitzen. F\u00fcr Nutzer, die den 0patch-Agenten von ACROS Security einsetzen, wurde aber ein Micropatch entwickelt. <\/p>\n

\n

Our micropatch has 11 instructions in two patchlets, and is logically identical to Microsoft's official patch. Patchlet 2 makes sure that allocated memory block is initialized, and patchlet 1 performs a pointer check for NULL. pic.twitter.com\/oRSUJNzjqA<\/a><\/p>\n

\u2014 0patch (@0patch) April 3, 2020<\/a><\/p><\/blockquote>\n