{"id":261815,"date":"2022-01-21T00:08:00","date_gmt":"2022-01-20T23:08:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261815"},"modified":"2024-04-08T20:05:11","modified_gmt":"2024-04-08T18:05:11","slug":"windows-januar-2022-sicherheitsupdates-fr-curl-schwachstelle-cve-2021-22947-ein-zhes-unterfangen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/21\/windows-januar-2022-sicherheitsupdates-fr-curl-schwachstelle-cve-2021-22947-ein-zhes-unterfangen\/","title":{"rendered":"Windows Januar 2022-Sicherheitsupdates für cURL-Schwachstelle CVE-2021-22947 – ein zähes Unterfangen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Zum 11. Januar 2022 hat Microsoft die Schwachstelle CVE-2021-22947 in Windows 10, Windows 11 und in deren Server Pendants mit diversen Sicherheitsupdates geschlossen. Die Schwachstelle CVE-2021-22947 betrifft die cURL-Bibliothek und wurde vom deutschen Sicherheitsforscher Stefan Kanthak bereits im Sommer 2021 an Microsoft gemeldet. Mir liegt die z\u00e4he Korrespondenz zwischen Kanthak und dem MSRC vor, und es ist auch erkennbar, dass Microsoft cURL mehr schlecht als recht pflegt, so dass ich diesen Fall hier mal im Blog aufbereite.<\/p>\n

<\/p>\n

Darum geht es bei cURL<\/h2>\n

\"\"Microsoft liefert seit Anfang 2018 mit Windows 10 das Paket cURL<\/a> mit. Das ist einerseits eine Programmbibliothek und gleichzeitig ein Kommandozeilen-Programm zum \u00dcbertragen von Dateien in Rechnernetzen. cURL steht unter der offenen MIT-Lizenz und wurde auf verschiedene Betriebssysteme portiert.<\/p>\n

Bei Microsoft gibt es aber das Problem, dass die zwar vollmundig herumposaunen, cURL mit Windows 10 (und aktuell Windows 11) auszuliefern. Aber die Pflege des cURL-Pakets, speziell im Hinblick auf das Schlie\u00dfen bekannter Schwachstellen, ist Microsoft-like. Da wird das Paket schon mal zwei Jahre nicht gepatcht, und eine als kritisch eingestufte Remote Code Execution-Schwachstelle in cURL braucht \u00fcber ein halbes Jahr – und 3 Monate nach deren Offenlegung – bis diese gepatcht wird. Und der Janauar 2022-Patch kann wegen Kollateralsch\u00e4den ggf. nicht installiert werden.<\/p>\n

cURL-Schwachstelle: Erste Best\u00e4tigung Microsofts<\/h2>\n

Im cURL-Paket gibt es die Schwachstelle CVE-2021-22945<\/a>. Wenn curl >= 7.20.0 und <= 7.78.0 eine Verbindung zu einem IMAP- oder POP3-Server herstellt, um Daten mit STARTTLS abzurufen und auf TLS-Sicherheit umzustellen, kann der Server antworten und mehrere Antworten auf einmal zur\u00fccksenden, die curl im Cache speichert. curl stellt dann auf TLS um, leert aber nicht die Warteschlange der im Cache gespeicherten Antworten, sondern verwendet weiterhin die Antworten, die es *vor* dem TLS-Handshake erhalten hat, als ob sie authentifiziert w\u00e4ren, und vertraut ihnen.<\/p>\n

Durch diese Schwachstelle kann ein Man-In-The-Middle-Angreifer zuerst die gef\u00e4lschten Antworten einschleusen, dann den TLS-Verkehr des legitimen Servers durchschleusen und curl so austricksen, dass es Daten an den Benutzer zur\u00fccksendet, in der Annahme, dass die vom Angreifer eingeschleusten Daten vom TLS-gesch\u00fctzten Server stammen.<\/p>\n

Die Schwachstelle wurde von Stefan Kanthak entdeckt und an Microsoft gemeldet. Die initiale Nachricht von Kanthak an das Microsoft Security Response Center (MSRC) habe ich nicht zur Verf\u00fcgung, da Stefan Kanthak mir nur einen Auszug der Korrespondenz zur Verf\u00fcgung gestellt hat. Am Montag, den 26. Juli 2021 best\u00e4tigt das MSRC das gemeldete Problem in Curl:<\/p>\n

From: Microsoft Security Response Center
\nReceived: Mon Jul 26 2021 08:05:07 GMT-0700 (Pacific Daylight Time)
\nTo: Stefan Kanthak
\nSubject: MSRC Case 66388 CRM:0461283373<\/p>\n

Hi Stefan,<\/p>\n

Here's an update on your case:<\/p>\n

MSRC Case 66388<\/p>\n

We confirmed the behavior you reported. We'll continue our investigation and determine how to address this issue.<\/p>\n

Please let me know if you have additional information that could aid our investigation, or if you have questions.<\/p>\n

Thanks!<\/p>\n

Duncan
\nMSRC<\/p><\/blockquote>\n

An dieser Stelle h\u00e4tte man der Vorstellung nachh\u00e4ngen k\u00f6nnen, dass die Schwachstellen bis zum kommenden Patchday geschlossen wird.<\/p>\n

Im Oktober 2021 zugesagte Korrektur nicht erfolgt<\/h2>\n

Nachdem dieser Case irgendwie im Sande zu verlaufen schien (kein Fix im Oktober 2021; gem\u00e4\u00df nachfolgendem Text war von Microsoft aber ein Patch f\u00fcr Oktober 2021 zugesagt), hat Stefan Kanthak zum 12. Oktober 2021 nochmals nachgehakt:<\/p>\n

From: Stefan Kanthak
\nReceived: Tue Oct 12 2021 15:45:15 GMT-0700 (Pacific Daylight Time)
\nTo: <Microsoft Security Response Center>; Microsoft Security Response Center; Microsoft Security Response Center
\nSubject: Re: MSRC Case 66388 CRM:0461283373<\/p>\n

Duncan <secure@microsoft.com> wrote Thursday, August 05, 2021 2:09 AM:<\/p>\n

> Hello Stefan,
\n>
\n> Thank you for working with the MSRC!
\n>
\n> The fix is in development for your report, and is scheduled to be
\n> released in the October Microsoft Security Release on October 12th.<\/p>\n

WTF happened?<\/p>\n

1. Neither Link<\/a> nor KB5006670<\/a> nor KB5006672<\/a> list an update for curl.exe<\/em><\/p>\n

2. Link KB5006672<\/a> doesn't list curl.exe!<\/p>\n

3. 5006672.csv<\/a> but lists the VULNERABLE and OUTDATED curl.exe 7.55.1, built more than 2 years ago:<\/p>\n

| curl.exe,7.55.1.0,12-Aug-2019,19:46,\"386,048\"
\n| curl.exe,7.55.1.0,12-Aug-2019,20:28,\"421,376\"
\n| curl.exe,7.55.1.0,12-Aug-2019,19:46,\"386,048\"
\n…
\n| Windows 10 version 1809 LCU Arm64-based,,,,
\n| File name,File version,Date,Time,File size
\n| curl.exe,7.55.1.0,12-Aug-2019,19:37,\"330,240\"
\n…
\n| curl.exe,7.55.1.0,12-Aug-2019,19:46,\"386,048\"
\n…
\n| curl.exe,7.55.1.0,12-Aug-2019,20:22,\"435,712\"<\/p>\n

You had more than TWO FULL MONTHS to build curl.exe from its CURRENT sources, but FAILED MISERABLY to do so!
\nWhat happened to Bill Gates' \"trustworthy computing\"?
\nIT'S A REAL SHAME!<\/p>\n

> Will that date work for you for a disclosure date?<\/p>\n

NOT ANY MORE!<\/p>\n

> Thank you again for working with us,<\/p>\n

not amused
\nStefan Kanthak<\/p><\/blockquote>\n

Muss man sich auf der Zunge zergehen lassen: Im Oktober 2021 wird in Windows 10 und Windows 11 (sowie in den Server-Pendants) eine curl-Version 7.55.1.0 vom 14. August 2017 mitgeliefert (2019 von Microsoft compiliert). In dieser Uralt-Version sind zahlreiche Schwachstellen bekannt. Die Antwort von Microsoft (MSRC) auf die Anfrage von Kanthak kam am 12. Oktober 2021 und best\u00e4tigte, dass die curl-Schwachstelle nicht gefixt wurde.<\/p>\n

Received: Tue Oct 12 2021 16:27:50 GMT-0700 (Pacific Daylight Time)To: <Microsoft Security Response Center>; Microsoft Security Response Center; Microsoft Security Response Center; Stefan KanthakSubject: Re: MSRC Case 66388 CRM:0461283373Hello Stefan,<\/p>\n

Thank you for checking back on the status of your submission. You are correct that the update for Curl was not included in this
\nmonth's security update release. We are checking on the status of your case and will respond once we have an understanding of the
\nengineering groups' plans.<\/p>\n

Our apologies for the confusion.<\/p>\n

Thank you for working with MSRC.
\nDuncan
\nMSRC<\/p><\/blockquote>\n

Stefan Kanthak hat dann den Fall auf seclist.org ver\u00f6ffentlicht<\/a> und schreibt dort folgendes:<\/p>\n

In December 2017, Microsoft announced to ship curl.exe and tar.exe
\nwith Windows 10:
\n<Team Blog:Tar and curl come to Windows<\/a>><\/p>\n

But they failed once again, MISERABLY, at least for curl: they took
\nthe sources released 2017-11-14, let them rot for 2 years, applied
\nsome patches, only to let them rot again since then!<\/p>\n

| C:\\Users\\Public>winver
\n| Microsoft Windows [Version 10.0.19042.1083]
\n|
\n| C:\\Users\\Public>curl -V
\n| curl 7.55.1 (Windows) libcurl\/7.55.1 WinSSL
\n| Release-Date: 2017-11-14, security patched: 2019-11-05
\n| Protocols: dict file ftp ftps http https imap imaps pop3 pop3s smtp smtps telnet tftp
\n| Features: AsynchDNS IPv6 Largefile SSPI Kerberos SPNEGO NTLM SSL<\/p>\n

Version 7.55.1 is 34 releases and at least 15 (in words: FIFTEEN)
\nCVEs behind the current version 7.79.1: see
\n<https:\/\/curl.se\/docs\/releases.html<\/a>> and
\n<https:\/\/curl.se\/docs\/vulnerabilities.html<\/a>><\/p>\n

Most obviously Microsoft's processes are so bad that they can't
\nbuild a current version and have to ship ROTTEN software instead!<\/p>\n

stay tuned, and far away from such poorly maintained crap<\/p><\/blockquote>\n

Microsoft liefert also curl.exe <\/em>seit Anfang 2018 mit Windows 10 mit (dem damals sichersten Windows aller Zeiten, laut Hersteller). Allerdings l\u00e4sst Microsoft die alte Version von curl.exe<\/em> zwei Jahre lang regelrecht verrotten, ohne sich um Patches zu k\u00fcmmern. Erst Ende 2019 werden einige Patches in eine curl<\/em>-Version \u00fcbernommen. Dann gibt es wiederum zwei Jahre nichts an \u00c4nderungen, und es werden auch keine Sicherheitsupdates vorgenommen.<\/p>\n

Zum Zeitpunkt der Meldung der obigen Schwachstelle durch Stefan Kanthak waren mindestens 20 Sicherheitsl\u00fccken in curl bekannt und in der Open Source-Variante geschlossen. Nur Microsoft l\u00e4sst das kalt, im \"sichersten Windows aller Zeiten\" (O-Ton Microsoft) werden uralte Bibliotheken mit bekannten Sicherheitsl\u00fccke ausgerollt und es kratzt keinen. Da bleibt der Beobachter sprachlos zur\u00fcck – obwohl: Das ist bei Microsoft Programm – ich kenne andere F\u00e4lle, wo Bibliotheken in uralten Versionsst\u00e4nden und mit bekannten Schwachstellen in Produkte integriert und flei\u00dfig verteilt wurden.<\/p>\n

Weihnachten tut sich was …<\/h2>\n

Am 24. Dezember 2021 kam dann folgende Antwort von Microsoft an Stefan Kanthak – da hat offenbar jemand seinen Schreibtisch aufger\u00e4umt:<\/p>\n

From: \"Microsoft Security Response Center\" <secure@microsoft.com>
\nTo: \"Microsoft Security Response Center\" <secure@microsoft.com>; \"Microsoft Security Response Center\" <secure@microsoft.com>;
\n\"Microsoft Security Response Center\" <secure@microsoft.com>; \"Microsoft Security Response Center\" <secure@microsoft.com>; \"Stefan Kanthak\" <stefan.kanthak@nexgo.de>
\nSent: Friday, December 24, 2021 12:05 AM
\nSubject: RE: Re: MSRC Case 66388 CRM:0461283373<\/p>\n

Hello Stefan,<\/p>\n

The fix in development for your report has completed testing and is tentatively scheduled to be released in the upcoming Microsoft Security Release on January11th 2022. We will be referencing some of the CVEs that CURL has issued for recent updates, including CVE-2022-22947. While unlikely this is still subject to change, and I will be sure to notify you of any updates.<\/p>\n

Thank you again for working with us,<\/p>\n

Duncan<\/p>\n

MSRCFrom: Microsoft Security Response Center<\/p><\/blockquote>\n

Dort wurde der Fix f\u00fcr den 11. Januar 2022 versprochen.<\/p>\n

… aber es wird Januar 2022<\/h2>\n

In der Tat kam dann zum 11. Januar 2022 (Patchday) wirklich ein Update und die als kritisch eingestufte Remote Code Execution-Schwachstelle CVE-2021-22947<\/a> in Curl wurde in Windows 10 20H2 -21H2, Windows Server 2022 und in Windows 11 geschlossen. Die CVE war \u00fcber Hacker One beantragt worden, eine Beschreibung von CVE-2021-22947 findet sich hier<\/a> und hier<\/a>. Inzwischen weist Microsoft Stefan Kanthak als Entdecker der Schwachstelle aus – was wohl erst auf erneutes Nachhaken passierte. Denn Kanthak schrieb in einer Mail \"Fuer eine Danksagung langt's bei der Redmonder Klitsche auch nicht\".<\/p>\n

Eine Klitsche Namens Microsoft<\/h2>\n

Sind wir uns einig, dass Microsoft sich gerne als Nabel der Welt geriert? Und sind wir uns einig, dass das Credo Microsofts und der Zunft der Sicherheitsfirmen samt Experten \"immer patchen, damit die Systeme aktuell sind, und immer die neueste Softwareversion einsetzen\" lautet? Momentan geht mir der def\u00e4tistische Gedanke \"Brot und Spiele f\u00fcrs Volk\" durch den Kopf. Warum?<\/p>\n

Vor einigen Tagen hatte ich im Blog-Beitrag Eset und die Meldung von 3 Millionen unsicheren deutschen Windows-Computern<\/a> die neueste Sau, die in den Mainstream-Medien in Punkto Sicherheit, durchs Dorf getrieben wurde zerpfl\u00fcckt. Und nun kommt mit obiger Fall wie gerufen, um weiter Salz in die Wunden zu streuen.<\/p>\n

Microsoft bl\u00e4st m\u00e4chtig in die Backen, wenn es darum geht, wie toll man ist und was alles an Open Source-Funktionen, von WSL bis cURL in Windows 10\/11 integriert wird. Aber mir bleibt die Spucke weg, wenn ich oben lese, wie lausig dieses Zeugs gepflegt und mit Sicherheitspatches versorgt wird.<\/p>\n

Es ist schon sportlich, wenn eine als kritisch eingestufte RCE-Schwachstelle in einer curl-Bibliothek erst nach einem halben Jahr (und 3 Monate nach Offenlegung) gefixt wird. Von den Zwei-Jahres-Pausen bez\u00fcglich cURL-Updates erst gar nicht zu reden. An dieser Stelle sollten bei jedem Beobachter die Glocken klingeln, wenn Microsofts Marketing-Leute oder Sicherheitsfirmen und Sicherheitsexperten heraustr\u00f6ten, wie wichtig aktuelle Betriebssystem und Updates sind. Klar, Updates sind wichtig, wenn, ja wenn auch die bekannten bzw. gemeldeten Schwachstellen beseitigt werden. Das ist aber wohl im Microsoft-Kosmos nicht wirklich der Fall – und ich denke, bei anderen Firmen auch nicht.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nEset und die Meldung von 3 Millionen unsicheren deutschen Windows-Computern<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nMicrosoft Teams und die Sicherheit \u2026<\/a>
\nTeams: Erfolgreich, aber ein Sicherheits-GAU<\/a>
\nMicrosoft Teams Bugs: Notrufe blockiert, Phishing-L\u00fccke seit M\u00e4rz 2021<\/a>
\nAuf dem Electron-Framework basierende Apps angreifbar<\/a>
\nEdge: Hat Microsoft den Kompass verloren?<\/a>
\nBug in Origin von Electronic Arts gef\u00e4hrdete Windows-Nutzer<\/a>
\nMicrosoft, die Nachhaltigkeit und Windows 11 als Umweltkatastrophe \u2013 Teil 1<\/a>
\nEdge: Installer-Sicherheit mangelhaft<\/a>
\nMicrosoft will Installer-Schwachstelle nicht schlie\u00dfen<\/a>
\nSicherheit: Microsoft Visual C++ Runtime kommt mit alten Wix-Installern und Schwachstellen<\/a>
\nMicrosoft und die Office 20xx-Sicherheitsl\u00fccke in ose.exe<\/a>
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a>\u00a0\u2013 Teil 1
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a>\u00a0\u2013 Teil 2
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a>\u00a0\u2013 Teil 3<\/p>\n

\u00c4hnliche Artikel zu Jan 2022 Patchday-Problemen:
\n<\/strong>Windows Server: Notfall-Update fixt Remote Desktop-Probleme (4.1.2022)<\/a>
\nWindows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife<\/a>
\nWindows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt<\/a>
\nWindows Server 2012\/R2: Januar 2022 Update KB5009586 brickt Hyper-V Host<\/a>
\nMicrosoft Januar 2022 Patchday-Revisionen (14.1.2022)<\/a>
\nMicrosoft Patchday-Probleme Jan. 2022: Bugs best\u00e4tigt, Updates zur\u00fcckgezogen?<\/a><\/p>\n

Sonderupdates f\u00fcr Windows mit Fixes f\u00fcr Jan. 2022-Patchday-Probleme (17.1.2022)<\/a>
\nWindows 11\/Server 2022 Sonderupdates mit Fixes f\u00fcr Jan. 2022-Patchday-Probleme (17.1.2022)<\/a>
\nWindows 10\/Server: Sonderupdates mit Fixes f\u00fcr Jan. 2022-Patchday-Probleme (17.1.2022)<\/a>
\nWindows 7\/8.1; Server 2008R2\/2012R2: Sonderupdates mit Fixes f\u00fcr Jan. 2022-Patchday-Probleme (17.1.2022)<\/a>
\nSonderupdate f\u00fcr Windows Server 2019 fixt Jan. 2022-Patchday-Probleme (18.1.2022)<\/a><\/p>\n

Nachlese: Fix f\u00fcr Windows IPSec VPN-Verbindungproblem<\/a>
\nSonderupdate f\u00fcr Windows (17.\/18. Jan. 2022) fixen ReFS-Probleme nur teilweise<\/a>
\nAccess-Lock-Bug durch Microsoft Office Updates (11. Januar 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 11. Januar 2022 hat Microsoft die Schwachstelle CVE-2021-22947 in Windows 10, Windows 11 und in deren Server Pendants mit diversen Sicherheitsupdates geschlossen. Die Schwachstelle CVE-2021-22947 betrifft die cURL-Bibliothek und wurde vom deutschen Sicherheitsforscher Stefan Kanthak bereits im Sommer 2021 … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301,3694,2557],"tags":[8297,4328,4315,4378,8257],"class_list":["post-261815","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","category-windows-10","category-windows-server","tag-patchday-1-2022","tag-sicherheit","tag-update","tag-windows-10","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261815","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261815"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261815\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261815"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261815"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261815"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}