{"id":261563,"date":"2022-01-14T12:55:29","date_gmt":"2022-01-14T11:55:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261563"},"modified":"2022-03-22T02:11:43","modified_gmt":"2022-03-22T01:11:43","slug":"0patch-fixt-remotepotato0-schwachstelle-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/14\/0patch-fixt-remotepotato0-schwachstelle-in-windows\/","title":{"rendered":"0patch fixt RemotePotato0-Schwachstelle in Windows"},"content":{"rendered":"

\"Windows\"[English<\/a>]Das Sicherheitsteam von ACROS Security rund um den Gr\u00fcnder Mitja Kolsek hat gerade einen Micro-Patch zum Schlie\u00dfen einer Local Privilege Escalation-Schwachstelle von Windows entwickelt. Der Patch steht f\u00fcr alle Kunden mit dem 0patch-Agenten kostenfrei bereit, bis Microsoft diese Schwachstelle schlie\u00dft. Hier einige Informationen dazu.<\/p>\n

<\/p>\n

Die RemotePotato0 LPE-Schwachstelle<\/h2>\n

Im April 2021 hatte der Forscher Antonio Cocomazzi von Sentinel LABS und der unabh\u00e4ngige Sicherheitsforscher Andrea Pierini einen Artikel mit dem Titel Relaying Potatoes: Another Unexpected Privilege Escalation Vulnerability in Windows RPC Protocol<\/a> ver\u00f6ffentlicht. Der Artikel beschrieb eine lokale Schwachstelle zur Privilegienerweiterung, die sie in Windows gefunden und an Microsoft gemeldet hatten. Ich hatte im Juli 2021 im Beitrag RemotePotato0: Privilege Escalation-Schwachstelle im Windows RPC Protocol<\/a> dar\u00fcber berichtet.<\/p>\n

Die Sicherheitsl\u00fccke erm\u00f6glicht es einem angemeldeten Angreifer mit niedrigen Privilegien, eine von mehreren Spezialanwendungen in der Sitzung eines anderen Benutzers zu starten. Der Benutzer muss aber gerade am selben Computer angemeldet sein, und diese Anwendung dazu zu bringen, den NTLM-Hash des Benutzers an eine vom Angreifer ausgew\u00e4hlte IP-Adresse zu senden. Wenn der Angreifer einen NTLM-Hash von einem Dom\u00e4nenadministrator abf\u00e4ngt, kann er eine eigene Anfrage an den Dom\u00e4nencontroller stellen, in der er sich als dieser Administrator ausgibt, und eine administrative Aktion durchf\u00fchren, z. B. sich selbst zur Gruppe der Dom\u00e4nenadministratoren hinzuf\u00fcgen.<\/p>\n

Microsoft entschied, diese Schwachstelle nicht zu beheben, da \"Server sich gegen NTLM-Relay-Angriffe verteidigen m\u00fcssen\". In der Realit\u00e4t sch\u00fctzen sich viele Server nicht vor NTLM-Relay-Angriffen. Da die Schwachstelle in allen unterst\u00fctzten Windows-Versionen vorhanden ist (sowie in allen nicht unterst\u00fctzten Versionen, die die ACROS Security-Leute als sicherheitsrelevant eingestuft haben), haben die ACROS Security-Leute beschlossen, die Schwachstelle mit einem Micro-Patch zu beseitigen.<\/p>\n

Die 0Patch-L\u00f6sung f\u00fcr die RemotePotato0 LPE-Schwachstelle<\/h2>\n

Das Team von ACROS Security, welches seit Jahren die 0Patch-L\u00f6sung bereitstellt, hat die RPE-Schwachstelle analysiert und stellte einen Micropatch bereit, um die Schwachstelle unsch\u00e4dlich zu machen. Mitja Kolsek hat \u00fcber Twitter<\/a> auf diese L\u00f6sung aufmerksam gemacht.<\/p>\n

\"Windows<\/a><\/p>\n

Das Ganze wird in diesem Blog-Beitrag<\/a>\u00a0 vom 12. Januar 2022 von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen f\u00fcr alle Kunden kostenlos f\u00fcr folgende Windows-Versionen zur Verf\u00fcgung.<\/p>\n

    \n
  1. Windows 10 v21H1 32&64 bit <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  2. Windows 10 v20H2 32&64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  3. Windows 10 v2004 32&64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  4. Windows 10 v1909 32&64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  5. Windows 10 v1903 32&64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  6. Windows 10 v1809 32&64 bit<\/b> <\/b>updated with May 2021 Updates<\/li>\n
  7. Windows 10 v1803 32&64 bit<\/b> <\/b>updated with May 2021 Updates<\/li>\n
  8. Windows 7 32&64 bit<\/b> <\/b>updated with January 2020 Updates (no ESU)<\/li>\n
  9. Windows 7 32&64 bit<\/b> <\/b>updated with January 2021 Updates (year 1 of ESU)<\/li>\n
  10. Windows 7 32&64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates (year 2 of ESU)<\/li>\n
  11. Windows Server 2019 64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  12. Windows Server 2016 64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  13. Windows Server 2012 R2 64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  14. Windows Server 2012 64 bit<\/b> <\/b>updated with December 2021 or January 2022 Updates<\/li>\n
  15. Windows Server 2008 R2 64 bit<\/b> <\/b>updated with January 2020 Updates (no ESU)<\/li>\n
  16. Windows Server 2008 R2 64 bit<\/b> <\/b>updated with January 2021 Updates (year 1 of ESU)<\/li>\n
  17. Windows Server 2008 R2 64 bit<\/b> <\/b>updated with January 2022 Updates (year 2 of ESU)<\/li>\n
  18. Windows Server 2008 64 bit<\/b> <\/b>updated with January 2020 Updates<\/li>\n<\/ol>\n

    In diesem Tweet<\/a> berichtet ein Nutzer aber kleine Probleme bei der Hello PIN-Eingabe in Windows. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>).<\/p>\n

    \u00c4hnliche Artikel
    \n<\/strong>    Windows 7: Februar 2020-Sicherheitsupdates erzwingen<\/a> \u2013 Teil 1
    \n    Windows 7: Mit der 0patch-L\u00f6sung absichern<\/a> \u2013 Teil 2
    \n    Windows 7\/Server 2008\/R2: 0patch liefert Sicherheitspatches nach Supportende<\/a>
    \n    Windows 7\/Server 2008\/R2 Life Extension-Projekt & 0patch Probemonat<\/a>
    \n    0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
    \n    0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
    \n    0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
    \n    0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
    \n    0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
    \n    0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec<\/a>
    \n    0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle<\/a>
    \n    0patch fixt 0-day im Internet Explorer<\/a>
    \n    0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2<\/a>
    \n    0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)<\/a>
    \n    0Patch bietet Support f\u00fcr Windows 10 Version 1809 nach EOL<\/a>
    \n    Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959<\/a>
    \n    0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
    \n    0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
    \n    0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
    \n    2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>
    \n    Windows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a>
    \n    0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service<\/a>
    \n    0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service<\/a>
    \n    0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows<\/a>
    \n    0patch fixt ms-officecmd RCE-Schwachstelle in Windows<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Das Sicherheitsteam von ACROS Security rund um den Gr\u00fcnder Mitja Kolsek hat gerade einen Micro-Patch zum Schlie\u00dfen einer Local Privilege Escalation-Schwachstelle von Windows entwickelt. Der Patch steht f\u00fcr alle Kunden mit dem 0patch-Agenten kostenfrei bereit, bis Microsoft diese Schwachstelle schlie\u00dft. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7875,4328,4294],"class_list":["post-261563","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-0patch","tag-sicherheit","tag-windows-7"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261563"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261563\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261563"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}