{"id":240676,"date":"2020-12-24T02:32:34","date_gmt":"2020-12-24T01:32:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=240676"},"modified":"2023-02-20T08:17:42","modified_gmt":"2023-02-20T07:17:42","slug":"exploit-fr-unsauber-gepatchte-windows-0-day-schwachstelle-cve-2020-0986","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/24\/exploit-fr-unsauber-gepatchte-windows-0-day-schwachstelle-cve-2020-0986\/","title":{"rendered":"Exploit für unsauber gepatchte Windows 0-day-Schwachstelle CVE-2020-0986"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher haben nachgewiesen, dass eine im Juli 2020 in Windows gepatchte Sicherheitsl\u00fccke weiterhin ausnutzbar ist. Der Patch schlie\u00dft eine Schwachstelle nicht gen\u00fcgend, so dass eine andere M\u00f6glichkeit zur Ausnutzung besteht.<\/p>\n

<\/p>\n

Die Schwachstelle CVE-2020-0986<\/h2>\n

\"\"Im Mai 2020 hatten Sicherheitsforscher vom Google Projekt Zero die Schwachstelle CVE-2020-0986 in diesem Dokument<\/a> beschrieben. Auch die Zero Day Initiative hat die Schwachstelle am 19. Mai 2020 beschrieben<\/a>.\u00a0 Sicherheitsforscher von Kaspersky haben in Windows 10 1909\/1903 und fr\u00fcheren Versionen eine\u00a0 Untrusted Pointer Dereference gefunden. Microsoft schreibt<\/a> dazu:<\/p>\n

Es besteht eine Sicherheitsanf\u00e4lligkeit bez\u00fcglich Rechteerweiterungen, die dadurch verursacht wird, dass der Windows-Kernel Objekte im Arbeitsspeicher nicht ordnungsgem\u00e4\u00df verarbeitet. Ein Angreifer, der diese Sicherheitsanf\u00e4lligkeit erfolgreich ausnutzt, kann im Kernelmodus beliebigen Code ausf\u00fchren. Der Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit uneingeschr\u00e4nkten Benutzerrechten erstellen.<\/p>\n

Um diese Sicherheitsanf\u00e4lligkeit auszunutzen, muss sich ein Angreifer zuerst am System anmelden. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausf\u00fchren, um die Kontrolle \u00fcber ein betroffenes System zu \u00fcbernehmen.<\/p><\/blockquote>\n

Im Juni 2020 hat hat Microsoft ein Sicherheitsupdate zum Schlie\u00dfen dieser Schwachstelle freigegeben (siehe<\/a>).<\/p>\n

Schwachstelle immer noch ausnutzbar<\/h2>\n

Sicherheitsforscherin Maddie Stone\u00a0 vom Google Project Zero hat nun entdeckt, dass Microsofts Patch vom Juni 2020 die urspr\u00fcngliche Schwachstelle (CVE-2020-0986) nicht behoben hat. Nach einigen Anpassungen kann die Schwachstelle immer noch ausgenutzt werden. Darauf weist sie in einigen Tweets<\/a> hin.<\/p>\n

\"Windows<\/a><\/p>\n

Im Project Zero-Bug-Tracker findet sich der Hinweis<\/a> vom September 2020, dass die Schwachstelle CVE-2020-0986, die seinerzeit in freier Wildbahn ausgenutzt wurde, ungefixt ist. Zur Ausnutzung der Schwachstelle muss nur Ausnutzungsmethode ge\u00e4ndert werden. Ein Prozess mit niedriger Integrit\u00e4t kann LPC-Nachrichten an splwow64.exe<\/em> (mittlere Integrit\u00e4t) senden und ein Schreib-Was-Wo-Primitiv im Speicherbereich von splwow64 erlangen. Es gibt also eine Rechteerh\u00f6hung und der Angreifer kann das Ziel, den Inhalt der kopiert wird, und die Anzahl der Bytes, die durch einen memcpy<\/em>-Aufruf kopiert kontrollieren.<\/p>\n

Stone hat ein Proof of Concept (PoC) erstellt und Microsoft informiert. Die Beschreibung im Google Project Zero wurde nun automatisch nach Ablauf von 90 Tagen ver\u00f6ffentlicht. Aktuell gibt es von Microsoft keinen Patch f\u00fcr die Schwachstelle, denn das Vorhaben, ein Update zum November 2020 freizugeben, konnte nicht eingehalten werden. Beim Testen wurden gravierende Probleme mit dem Update gefunden. Microsoft hat bereits gesagt, dass ein Update nicht vor dem 6. Januar 2020 verf\u00fcgbar ist. Weitere Hinweise sind bei Bleeping Computer<\/a> zu finden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nZDI publiziert f\u00fcnf Windows 0-day Schwachstellen<\/a>
\nBSI warnt vor mehreren kritischen Windows-Schwachstellen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher haben nachgewiesen, dass eine im Juli 2020 in Windows gepatchte Sicherheitsl\u00fccke weiterhin ausnutzbar ist. Der Patch schlie\u00dft eine Schwachstelle nicht gen\u00fcgend, so dass eine andere M\u00f6glichkeit zur Ausnutzung besteht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,3288],"class_list":["post-240676","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/240676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=240676"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/240676\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=240676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=240676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=240676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}