{"id":238055,"date":"2020-11-26T00:47:00","date_gmt":"2020-11-25T23:47:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238055"},"modified":"2020-12-06T23:46:09","modified_gmt":"2020-12-06T22:46:09","slug":"0patch-fixt-0-day-schwachstelle-in-windows-7-server-2008-r2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/26\/0patch-fixt-0-day-schwachstelle-in-windows-7-server-2008-r2\/","title":{"rendered":"0patch fixt 0-Day-Schwachstelle in Windows 7\/Server 2008 R2"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"win7\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/03\/win7_thumb1.jpg\" alt=\"win7\" width=\"44\" height=\"42\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=16887\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]ACROS Security hat einen Micropatch f\u00fcr ein 0-Day-Schwachstelle in Windows 7 und Server 2008 R2 (ohne ESU-Lizenz) ver\u00f6ffentlicht. Hier einige Informationen zu diesem Micropatch.<br \/>\n<!--more--><\/p>\n<h2>Die 0-Day-Schwachstelle<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/24c69a6cb552400eb1e62cbbb9cda415\" alt=\"\" width=\"1\" height=\"1\" \/>Am 12. November 2020 ver\u00f6ffentlichte der Sicherheitsforscher Cl\u00e9ment Labro eine <a href=\"https:\/\/itm4n.github.io\/windows-registry-rpceptmapper-eop\/\" target=\"_blank\" rel=\"noopener noreferrer\">detaillierte Analyse<\/a> einer lokalen Privilegieneskalations-Schwachstelle, die Windows 7 und Windows Server 2008 R2 betrifft. Auf einem typischen Windows 7- und Server 2008 R2-Rechner stellte ein vom Sicherheitsforscher geschriebenes Tool fest, dass alle lokalen Benutzer Schreibberechtigungen f\u00fcr zwei Registrierungsschl\u00fcssel haben:<\/p>\n<p>HKLM\\SYSTEM\\CurrentControlSet\\Dienste\\Dnscache<br \/>\nHKLM\\SYSTEM\\CurrentControlSet\\Dienste\\RpcEptMapper<\/p>\n<p>Cl\u00e9ment und heraus, dass die Windows-Leistungs\u00fcberwachung dazu gebracht werden kann, von diesen Schl\u00fcsseln zu lesen &#8211; und eine von einem lokalen Angreifer bereitgestellte DLL zu laden. Diese DLL wird nicht als lokaler Benutzer, sondern als Lokales System geladen und ausgef\u00fchrt.<\/p>\n<p>Ein lokaler Standard-Benutzer kann auf dem Computer einen Leistungs-Unterschl\u00fcssel in einem der oben genannten Schl\u00fcssel erstelle. Tr\u00e4gt er in den Unterschl\u00fcssel einige Werten ein und l\u00f6st die Leistungs\u00fcberwachung aus, f\u00fchrt das dazu, dass ein lokaler System WmiPrvSE.exe-Prozess die DLL des Angreifers l\u00e4dt und Code davon ausf\u00fchrt.<\/p>\n<p>Es handelt sich um eine 0-Day-Schwachstelle, f\u00fcr die es (zum Zeitpunkt des Verfassens dieses Artikels) noch keine offizielle L\u00f6sung gibt. Obwohl diese Windows-Plattformen im Januar dieses Jahres das Ende des Supports erreicht haben, sind die Extended Security Updates (ESU) f\u00fcr sie jedoch noch bis Januar 2023 verf\u00fcgbar &#8211; daher sind derzeit sogar vollst\u00e4ndig ESU-aktualisierte Rechner von diesem Problem betroffen.<\/p>\n<h2>0patch-Fix f\u00fcr Windows 7 SP1\/Server 2008 R2<\/h2>\n<p>ACROS Security hat einen Micropatch f\u00fcr die 0-Day-Schwachstelle entwickelt. Der Entwickler Mitja Kolsek hat mich \u00fcber eine private Nachricht auf diesen <a href=\"https:\/\/twitter.com\/0patch\/status\/1331633657166131202\" target=\"_blank\" rel=\"noopener noreferrer\">Tweet<\/a> mit den Informationen\u00a0 zur Freigabe des Micropatches f\u00fcr Windows 7 SP1 und Windows Server 2008 R2 hingewiesen. Details zum Patch finden sich in <a href=\"https:\/\/blog.0patch.com\/2020\/11\/0day-in-windows-7-and-server-2008-r2.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a>.<\/p>\n<p><a href=\"https:\/\/twitter.com\/0patch\/status\/1331633657166131202\" target=\"_blank\" rel=\"noopener noreferrer\"><img decoding=\"async\" title=\"0patch Micropatch f\u00fcr Windows 7 SP1 \" src=\"https:\/\/i.imgur.com\/8Nm73vi.png\" alt=\"0patch Micropatch f\u00fcr Windows 7 SP1 \" \/><\/a><br \/>\n(0patch Fix f\u00fcr die 0-Day-Schwachstelle)<\/p>\n<p>Dieser Micropatch ist f\u00fcr alle 0patch-Benutzer mit FREE und PRO-Lizenz ab sofort verf\u00fcgbar und wird bereits auf alle Online-Computer mit 0patch Agent angewendet (au\u00dfer in nicht standardm\u00e4\u00dfigen Enterprise-Konfigurationen). Wie immer ist kein Neustart des Computers erforderlich und die Arbeit der Benutzer wird nicht unterbrochen. Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (z.B. <a href=\"https:\/\/borncity.com\/blog\/2020\/03\/05\/windows-7-mit-der-0patch-lsung-absichern-teil-2\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">hier<\/a>), die ich unten verlinkt habe.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/?p=229094\">Windows 7: Februar 2020-Sicherheitsupdates erzwingen<\/a> \u2013 Teil 1<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=229096\">Windows 7: Mit der 0patch-L\u00f6sung absichern<\/a> \u2013 Teil 2<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/21\/windows-7-server-2008-r2-0patch-liefert-sicherheitspatches-nach-supportende\/\">Windows 7\/Server 2008\/R2: 0patch liefert Sicherheitspatches nach Supportende<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/30\/0patch-1-probemonat-fr-windows-7-server-2008-r2-patches\/\">Windows 7\/Server 2008\/R2 Life Extension-Projekt &amp; 0patch Probemonat<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/21\/0patch-fix-fr-internetexplorer-0day-schwachstelle-cve-2020-0674\/\">0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/13\/0patch-fix-fr-windows-installer-schwachstelle-cve-2020-0683\/\">0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/20\/0patch-fix-fr-windows-gdi-schwachstelle-cve-2020-0881\/\">0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/24\/0-day-schwachstelle-in-windows-adobe-library\/\">0-Day-Schwachstelle in Windows Adobe Type Library<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/27\/0patch-fixt-0-day-adobe-type-library-bug-in-windows-7\/\">0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/23\/0patch-fixt-cve-2020-0687-in-windows-7-server-2008-r2\/\">0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/05\/21\/0patch-fixes-cve-2020-1048-in-windows-7-server-2008-r2\/\">0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/05\/27\/0patch-fixt-cve-2020-1015-in-windows-7-server-2008-r2\/\">0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/06\/18\/0patch-fixt-cve-2020-1281-in-windows-7-server-2008-r2\/\">0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/02\/0patch-fixt-cve-2020-1337-in-windows-7-server-2008-r2\/\">0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/11\/0patch-fixt-cve-2020-1530-in-windows-7-server-2008-r2\/\">0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/18\/0patch-fixt-zerologon-cve-2020-1472-in-windows-server-2008-r2\/\">0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/10\/17\/0patch-fixt-cve-2020-1062-in-windows-7-server-2008-r2\/\">0patch fixt CVE-2020-1062 in Windows 7\/Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/19\/0patch-fixt-cve-2020-1300-in-windows-7-server-2008-r2\/\">0patch fixt CVE-2020-1300 in Windows 7\/Server 2008 R2<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2020\/11\/08\/0patch-untersttzt-office-2010-nach-dem-supportende-mit-micropatch\/\">0patch unterst\u00fctzt Office 2010 nach dem Supportende mit Micropatches<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]ACROS Security hat einen Micropatch f\u00fcr ein 0-Day-Schwachstelle in Windows 7 und Server 2008 R2 (ohne ESU-Lizenz) ver\u00f6ffentlicht. Hier einige Informationen zu diesem Micropatch.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[7875,4328,4294,4364],"class_list":["post-238055","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-0patch","tag-sicherheit","tag-windows-7","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238055"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238055\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}