{"id":260894,"date":"2021-12-24T01:35:07","date_gmt":"2021-12-24T00:35:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260894"},"modified":"2021-12-24T02:38:23","modified_gmt":"2021-12-24T01:38:23","slug":"0patch-fixt-ms-officecmd-rce-schwachstelle-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/24\/0patch-fixt-ms-officecmd-rce-schwachstelle-in-windows\/","title":{"rendered":"0patch fixt ms-officecmd RCE-Schwachstelle in Windows"},"content":{"rendered":"

\"Windows\"[English<\/a>]Das Sicherheitsteam von ACROS Security rund um den Gr\u00fcnder Mitja Kolsek hat gerade einen Micro-Patch zum Schlie\u00dfen einer Remote Code Execution-Schwachstelle im ms-officecmd-Handler von Windows entwickelt und f\u00fcr Kunden mit einer 0patch PRO oder Enterprise-Lizenz freigegeben. F\u00fcr diese Schwachstelle gibt es noch keine CVE. Hier einige Informationen dazu.<\/p>\n

<\/p>\n

Die ms-officecmd RCE-Schwachstelle<\/h2>\n

\"\"Im Blog-Beitrag Microsoft Teams Bugs: Notrufe blockiert, Phishing-L\u00fccke seit M\u00e4rz 2021<\/a> hatte ich am Rande berichtet, dass die Firma Positive Security in Windows 10 \u00fcber einen Code Execution-Schwachstelle in Windows 10 via IE11\/Edge Legacy and MS Teams<\/a> gestolpert ist. Es handelt sich um eine kritische Schwachstelle bei der Handhabung des URL-Handlers \"ms-officecmd\" in Windows.<\/p>\n

Diese Schwachstelle erm\u00f6glichte einem Remote-Angreifer, beliebigen Code auf dem Computer des Benutzers auszuf\u00fchren, wenn dieser eine b\u00f6sartige Webseite mit einem Browser besuchte oder einen Link \u00f6ffnete. Der Link kann dem Benutzer in Dokumenten oder Messaging-Anwendungen bereitgestellt werden.<\/p>\n

Positive Security hat diesen Fehler an Microsoft gemeldet. Redmond soll diese Schwachstelle behoben haben, ohne eine CVE-ID zu vergeben (weil \"\u00c4nderungen an Webseiten, Downloads durch Defender oder durch den Store normalerweise nicht auf die gleiche Weise mit einer CVE-ID versehen werden\").<\/p>\n

Der Fix wurde nicht \u00fcber Windows Update sondern \u00fcber den Microsoft Store verteilt. Voraussetzung f\u00fcr die Verteilung war, dass der AppX Deployment Service ausgef\u00fchrt wurde. Dieser Dienst (AppXSVC) ist in Windows 10 standardm\u00e4\u00dfig aktiviert und wird bei Bedarf gestartet. Eine Suche nach \"AppXSVC activate\" ergibt aber einige Treffer, so dass man davon ausgehen kann, dass der Dienst oft abgeschaltet wurde (weil er eine hohe CPU-Auslastung verursachen kann). Zudem besteht in einer typischen Unternehmensumgebung keine Notwendigkeit, den Windows Store zuzulassen, so dass dieser per Gruppenrichtlinie blockiert wird. Mitja Kolsek hat die Details in diesem Blog-Beitrag<\/a> n\u00e4her erl\u00e4utert.<\/p>\n

Die 0Patch-L\u00f6sung f\u00fcr die ms-officecmd RCE-Schwachstelle<\/h2>\n

Das Team von ACROS Security, welches seit Jahren die 0Patch-L\u00f6sung bereitstellt, hat die RPE-Schwachstelle analysiert und stellte einen Micropatch bereit, um die Schwachstelle unsch\u00e4dlich zu machen. Mitja Kolsek hat \u00fcber Twitter<\/a> auf dieseL\u00f6sung aufmerksam gemacht.<\/p>\n

\"0Patch<\/a><\/p>\n

Das Ganze wird in diesem Blog-Beitrag<\/a>\u00a0 vom 23. Dezember 2021 von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen f\u00fcr Kunden mit einer 0patch PRO oder Enterprise-Lizenz zur Verf\u00fcgung. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>).<\/p>\n

\u00c4hnliche Artikel
\n<\/strong>Angriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a>
\nMSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a>
\nDesaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a>
\n<\/strong>Patchday-Nachlese Sept. 2021: Update zur MSHTML-Schwachstelle CVE-2021-40444<\/a><\/p>\n

Windows 7: Februar 2020-Sicherheitsupdates erzwingen<\/a> \u2013 Teil 1
\nWindows 7: Mit der 0patch-L\u00f6sung absichern<\/a> \u2013 Teil 2
\nWindows 7\/Server 2008\/R2: 0patch liefert Sicherheitspatches nach Supportende<\/a>
\nWindows 7\/Server 2008\/R2 Life Extension-Projekt & 0patch Probemonat<\/a>
\n0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
\n0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
\n0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
\n0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
\n0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
\n0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec<\/a>
\n0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle<\/a>
\n0patch fixt 0-day im Internet Explorer<\/a>
\n0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2<\/a>
\n0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)<\/a>
\n0Patch bietet Support f\u00fcr Windows 10 Version 1809 nach EOL<\/a>
\nWindows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
\n0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
\n2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>
\nWindows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a>
\n0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service<\/a>
\n0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service<\/a>
\n0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das Sicherheitsteam von ACROS Security rund um den Gr\u00fcnder Mitja Kolsek hat gerade einen Micro-Patch zum Schlie\u00dfen einer Remote Code Execution-Schwachstelle im ms-officecmd-Handler von Windows entwickelt und f\u00fcr Kunden mit einer 0patch PRO oder Enterprise-Lizenz freigegeben. F\u00fcr diese Schwachstelle gibt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[7875,4328,3288],"class_list":["post-260894","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-0patch","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260894","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260894"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260894\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260894"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260894"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260894"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}