![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\")
Microsoft hat zum 11. August 2020 eine vor zwei Jahren gemeldete Schwachstelle CVE-2020-1464 per Sicherheitsupdate beseitigt. Wurde aber auch Zeit, denn die Schwachstelle CVE-2020-1464 wurde inzwischen aktiv ausgenutzt. Eine zweite Schwachstelle CVE-2020-1571 in Windows Setup wurde ebenfalls per Update beseitigt. <\/p>\n
<\/p>\n
Brian Krebs berichtet hier<\/a> einige Details mehr. Die Sicherheitsl\u00fccke wurde zwei Jahre lang aktiv bei Malware-Angriffen ausgenutzt, bevor Microsoft letzte Woche endlich ein Software-Update zur Behebung des Problems ver\u00f6ffentlichte. Das Ganze wurde von den Sicherheitsforschern Peleg Hadar<\/a> und Tal Be'ery<\/a> analysiert und in diesem Medium-Artikel<\/a> beschrieben. <\/p>\n Im Jahr 2018 wurde ein Malware-Programm, welches als GlueBall bezeichnet wird, erstmals auf VirusTotal hochgeladen. Der Entdecker der GlueBall-Malware berichtete seinerzeit den Fund an Microsoft. Redmond war also \u00fcber das Problem informiert. Die Schwachstelle bestand in der Art, wie Windows digitale Signaturen von Programmdateien behandelte. <\/p>\n Bernardo Quintero, der Manager von VirusTotal, ver\u00f6ffentlichte am 15. Januar 2019 einen Blog-Beitrag<\/a> \u00fcber das Problem. Man kann eine g\u00fcltige MSI-Installer-Datei nehmen, die mit einer g\u00fcltigen digitalen Signatur versehen ist. Dann l\u00e4sst sich eine JAVA-Datei (.jar) an diese MSI-Datei anh\u00e4ngen. Benennt man die Dateinamenerweiterung .msi in .jar um, wird aus den beiden Dateien in der MSI-Datei ein JAR-Archiv mit einer JAVA-Anwendung. Das Fatale: Die Java-Anwendungen wird von Windows als g\u00fcltig anerkannt – und noch schlimmer, die g\u00fcltige digitale Signatur f\u00fcr die MSI-Datei wurde auf die angeh\u00e4ngte .jar-Datei \u00fcbertragen. Windows erkannte eine g\u00fcltige Signatur, obwohl die Datei manipuliert war. <\/p>\n Brian Krebs schreibt, dass Bernardo Quintero angab, dass Microsoft seinerzeit entschied, diese Schwachstelle nicht zu beseitigen, w\u00e4hrend dessen Sicherheitsteam die Ergebnisse von Bernardo Quintero validierten. \"Microsoft hat entschieden, dass es dieses Problem in den aktuellen Windows-Versionen nicht beheben wird, und hat zugestimmt, dass wir \u00fcber diesen Fall und unsere Ergebnisse \u00f6ffentlich bloggen k\u00f6nnen\", schloss sein Blog-Post.<\/p>\n Zum 11. August 2020 hat Microsoft dann beschlossen, die Schwachstelle CVE-2020-1464 per Sicherheitsupdate f\u00fcr f\u00fcr Windows 7 bis Windows 10 und die Server-Pendants zu beseitigen. <\/p>\n Microsoft fixes actively exploited Windows bug reported 2 years ago – @LawrenceAbrams<\/a>https:\/\/t.co\/1ZMBRVOeGx<\/a><\/p>\n \u2014 BleepingComputer (@BleepinComputer) August 17, 2020<\/a><\/p><\/blockquote>\nMicrosoft beschreibt die Schwachstelle CVE-2020-1464<\/a> (Windows Spoofing Vulnerability) nur als Spoofing-Schwachstelle. Die Spoofing-Schwachstelle bestand darin, das Windows Dateisignaturen f\u00e4lschlicherweise validiert. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzte, k\u00f6nnte Sicherheitsfunktionen umgehen und falsch signierte Dateien laden. Ein Update f\u00fcr Windows vom 11. August 2020 behebt diese Sicherheitsanf\u00e4lligkeit in den unterst\u00fctzten Windows-Versionen. Laut verlinktem Microsoft-Supporartikel stehen Updates f\u00fcr Windows 7 bis Windows 10 und die Server-Pendants bereit. <\/p>\n
Details zur Schwachstelle CVE-2020-1464<\/h2>\n
Fund einer GlueBall-Malware 2018<\/h3>\n
Ver\u00f6ffentlichung der Schwachstelle 2019<\/h3>\n
August 2020: Bug wird beseitigt<\/h3>\n
\n