{"id":230820,"date":"2020-04-16T11:14:51","date_gmt":"2020-04-16T09:14:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230820"},"modified":"2022-09-16T09:21:30","modified_gmt":"2022-09-16T07:21:30","slug":"april-2020-patchday-nachlese","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/16\/april-2020-patchday-nachlese\/","title":{"rendered":"April 2020 Patchday-Nachlese"},"content":{"rendered":"

\"Windows[English<\/a>]Zum 14. April 2020 wurden eine Reihe Sicherheitsupdates f\u00fcr Windows, Office etc. freigegeben. Diese schlie\u00dfen teilweise 0-day-Schwachstellen, aber es gibt auch Kollateralsch\u00e4den. So funktioniert das VBA-Code-Signing nach Installation der Office-Sicherheitsupdates nicht mehr. Hier ein \u00dcberblick, was mir bisher unter die Augen gekommen ist.<\/p>\n

<\/p>\n

\"\"Ich hatte ja bereits Details zu den jeweiligen Updates in den am Artikelende verlinkten Blog-Beitr\u00e4gen ver\u00f6ffentlicht. Hier geht es um kritische Schwachstellen und Probleme, die die Updates verursachen.<\/p>\n

Angegriffene Schwachstellen<\/h2>\n

Die Zero-Day-Initiative (ZDI) hat in diesem Artikel<\/a> eine \u00dcberschicht \u00fcber alle von Microsoft per Update adressierten Schwachstellen ver\u00f6ffentlicht. Hier die Liste der angegriffenen Schwachstellen.<\/p>\n

Schwachstelle CVE-2020-1020<\/h3>\n

Bei CVE-2020-1020<\/a> handelt es sich um die bereits im M\u00e4rz 2020 bekannt gewordene\u00a0 Adobe Font Manager Library Remote Code Execution-Schwachstelle in Windows 7. Angreifer k\u00f6nnen diese Schwachstelle nutzen, um ihren Code auf betroffenen Systemen (mit den Privilegien des jeweiligen Benutzers) auszuf\u00fchren. Dazu muss der Benutzer aber ein Dokument mit einer speziell gestalteten Schriftart ansehen. Nur Kunden mit einer ESU-Lizenz werden den Patch f\u00fcr Windows 7 und Server 2008 erhalten. Alternativen sind aber BypassESU und 0patch, die diese Schwachstelle auch ohne ESU-Lizenz schlie\u00dfen (siehe auch Patchday: Updates f\u00fcr Windows 7\/8.1\/Server (14. April 2020)<\/a> und 0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>).<\/p>\n

Schwachstelle CVE-2020-0938<\/h3>\n

Bei\u00a0 CVE-2020-0938<\/a> handelt es sich um eine OpenType Font Parsing Remote Code Execution-Schwachstelle. Dieser Fehler steht im Zusammenhang mit der vorherigen Sicherheitsl\u00fccke CVE-2020-1020<\/a>, obwohl es einen anderen Schriftart-Renderer betrifft. Auch hier gibt es aktive Angriffe, ein Angreifer k\u00f6nnte seinen Code auf einem Zielsystem ausf\u00fchren, wenn ein Benutzer eine speziell gestaltete Schriftart betrachtet. Zu beachten ist, dass Windows 10-Systeme von diesen Fehlern weniger betroffen sind, da die Codeausf\u00fchrung in einer AppContainer-Sandbox erfolgen w\u00fcrde.<\/p>\n

Hier gibt es aber ein Problem: Bisher scheint es keinen Patch von Microsoft f\u00fcr die Schwachstelle zu geben. Windows 7-Benutzer w\u00fcrden f\u00fcr diesen Patch eine ESU-Lizenz ben\u00f6tigen. Lediglich von 0patch gibt es einen Micro-Patch f\u00fcr Windows 7, der die Ausnutzung der Schwachstelle verhindert.<\/p><\/blockquote>\n

Schwachstelle CVE-2020-0993<\/h3>\n

Bei CVE-2020-0993<\/a> handelt es sich um eine Windows DNS Denial of Service-Schwachstelle. Ein von Microsoft freigegebener Patch behebt einen Denial-of-Service (DoS)-Fehler im Windows-DNS-Dienst. Beachten Sie, dass es sich dabei um den DNS-Dienst und nicht um den DNS-Server handelt, so dass auch Client-Systeme von dieser Sicherheitsl\u00fccke betroffen sind. Ein Angreifer k\u00f6nnte den DNS-Dienst dazu veranlassen, nicht zu antworten, indem er einige speziell gestaltete DNS-Abfragen an ein betroffenes System sendet. Da es sich nicht um eine Codeausf\u00fchrung handelt, wird nur diese als wichtig eingestuft. In Anbetracht des Schadens, der durch einen nicht authentifizierten Angreifer verursacht werden k\u00f6nnte, sollte dies jedoch ganz oben auf der Test- und Bereitstellungsliste stehen.<\/p>\n

Schwachstelle CVE-2020-0981<\/h3>\n

Bei CVE-2020-0981<\/a> handelt es sich um eine Windows Token Security Feature Bypass-Schwachstelle. Diese Schwachstelle erm\u00f6glicht den Ausbruch aus einer Sandbox.\u00a0 Die Schwachstelle resultiert aus der unsachgem\u00e4\u00dfen Handhabung von Token-Beziehungen durch Windows. Angreifer k\u00f6nnten dies missbrauchen, um einer Anwendung mit einer bestimmten Integrit\u00e4tsstufe zu erlauben, Code auf einer anderen – vermutlich h\u00f6heren – Integrit\u00e4tsstufe auszuf\u00fchren. Dies betrifft nur Windows 10 Version 1903 und h\u00f6her und wurde durch ein Update gepatcht.<\/p>\n

Sonstiges<\/h3>\n

Nachfolgender Tweet greift eine Diskussion um die Zahl der 0-day-Schwachstellen auf, die im April 2020 gepatcht wurden.<\/p>\n

\n

There's a lot of confusion this month about the number of 0days Microsoft patched this month. Many reports of only 3, but by my count there are 4: CVE-2020-0938, CVE-2020-1020, CVE-2020-0674 and CVE-2020-1027. https:\/\/t.co\/C1GgmHr550<\/a><\/p>\n

\u2014 Dan Goodin (@dangoodin001) April 15, 2020<\/a><\/p><\/blockquote>\n