Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 6 (10.02.21):
Microsoft informiert über die Veröffentlichung der zweiten Phase von
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2020-1472. Dadurch
ist es nun möglich, auf allen Windows Domain Controllern verwundbare
Verbindungen von nicht konformen Geräten zu blockieren, falls nicht eine
explizite Ausnahme auf diesen aktiviert ist. Dieser ‘Enforcement Mode’
kann nicht von Kunden deaktiviert werden. Weitere Informationen hierzu
finden sich unter ‘Step 3b: Enforcement Phase’ in ‘How to manage the
changes in Netlogon secure channel connections associated with
CVE-2020-1472’ (https://support.microsoft.com/kb/4557222). Microsoft
verweist zudem auf die FAQ-Sektion für diese Schwachstelle.
Version 5 (30.10.20):
In einer weiteren Aktualisierung der FAQ-Sektion zu CVE-2020-1472 weist
Microsoft darauf hin, dass neben dem Sicherheitsupdate zusätzliche
Aktionen notwendig sind, um betroffene Systeme vollständig abzusichern.
Der Domänencontroller (DC)-Erzwingungsmodus (Enforcement Mode) muss
aktiviert werden. Ein Update zur vollständigen Absicherung wird für das
erste Quartal 2021 angekündigt. Zum Zeitpunkt der Veröffentlichung dieses
Updates werden Domänencontroller automatisch in den neuen Modus versetzt.
Version 4 (30.09.20):
Microsoft hat die FAQ-Sektion in dem Artikel ‘How to manage the changes in
Netlogon secure channel connections associated with CVE-2020-1472
(https://support.microsoft.com/kb/4557222)’ aktualisiert, um damit neue
Fragen zu beantworten und Kunden verstärkt auf ggf. notwendige Maßnahmen
zum Schutz vor der Schwachstelle hinzuweisen.
Version 3 (23.09.20):
Microsoft hat bestätigt, dass CVE-2020-1472 aus der Ferne ausgenutzt
werden und weitere Komponenten verwundbarer Systeme betreffen kann. Da
mittlerweile verschiedene Möglichkeiten bekannt sind, wie die
Schwachstelle ausgenutzt werden kann, sollte das Sicherheitsupdate, sofern
nicht bereits geschehen, umgehend eingespielt werden. Die baldige
automatisierte Ausnutzung der Schwachstelle ist zu erwarten. Microsoft
weist darauf hin, dass auch Domain Controller ohne Schreibzugriff
aktualisiert werden müssen, um den Schutz für die Gesamtstruktur des
Active Directory zu gewährleisten. Systeme, die von außerhalb des eigenen
Netzes zu erreichen sind, sind besonders gefährdet.
Version 2 (20.08.20):
Microsoft informiert über die Verfügbarkeit von Sicherheitsupdate 4578013
für alle unterstützten Versionen von Microsoft 8.1 und Windows Server 2012
R2, um die Schwachstellen CVE-2020-1530 und CVE-2020-1537 in Windows
Remote Access zu beheben.
Version 1 (12.08.20):
Neues Advisory
Eine Vielzahl von Schwachstellen in den Windows-Komponenten Media
Foundation, NetLogon, Jet Database Engine, DirectX, Graphics Device
Interface (GDI), Local Security Authority Subsystem Service,
Kernelmodustreiber (Win32k), Connected User Experiences and Telemetry
Service, Windows State Repository Service, DirectWrite, Windows Print
Spooler, Windows Media, Windows Registry, Windows RRAS Service, Windows
Kernel, Windows ARM, Windows Remote Desktop Gateway, Windows Work Folders
Service, Windows Image Acquisition Service, Windows Server Resource
Management Service, Windows AppX Deployment Extensions, Windows CSC Service,
Windows Storage Service, Windows Telephony Server, Windows File Server
Resource Management, Windows UPnP Device Host, Windows Font Driver Host,
Windows Speech Runtime, Windows Speech Shell, Windows Network Connection
Broker, Windows Custom Protocol Engine, Windows Radio Manager API, Windows
Remote Access, Windows Accounts Control, Windows WalletService, Windows
Backup Service, Windows Backup Engine, Windows WaasMedic Service, Windows
CDP User Components, Windows Work Folder Service, Windows Runtime, Windows
Codecs Library, Microsoft Graphics Components, Windows Setup, Windows
Function Discovery SSDP Provider, Windows dnsrslvr.dll, Windows Ancillary
Function Driver for WinSock und in Windows selbst ermöglichen einem zumeist
lokalen, teilweise aber auch entfernten Angreifer mit oder ohne üblichen
Benutzerrechten über speziell präparierte Anwendungen, welche lokal
ausgeführt werden müssen, und über Webseiten oder Dateien die Eskalation von
Privilegien und darüber die vollständige Kompromittierung betroffener
Systeme, die Ausführung beliebigen Programmcodes, das Ausspähen von
Informationen, die Durchführung eines Denial-of-Service (DoS)-Angriffs und
das Darstellen falscher Informationen. Einige Angriffe erfordern die
Interaktion eines Benutzers. In einem Fall kann ein erfolgreicher Angriff
Einfluss auf andere Komponenten betroffener Systeme haben.
Die Schwachstelle CVE-2020-1464, welche sich in Windows selbst befindet,
ermöglicht einem lokalen Angreifer das Vortäuschen (Spoofing) von
Dateisignaturen. Die Schwachstelle ist öffentlich bekannt und wird aktiv
ausgenutzt, da ein Exploit zur Verfügung steht. Microsoft stuft diese
Schwachstelle als wichtig (‘important’) ein.
Darüber hinaus informiert Microsoft, dass mehrere Schwachstellen in Windows
Ancillary Function Driver for WinSock (CVE-2020-1587), Graphics Device
Interface (GDI) (CVE-2020-1529, CVE-2020-1480), Windows Kernel
(CVE-2020-1566, CVE-2020-1578) und Windows dnsrslvr.dll (CVE-2020-1584) zwar
weder öffentlich bekannt sind noch aktiv ausgenutzt werden, deren baldige
aktive Ausnutzung aber als wahrscheinlich gilt.
Mehrere weitere Schwachstellen in Windows Media (CVE-2020-1339), Windows
Codecs Library (CVE-2020-1560, CVE-2020-1574, CVE-2020-1585), Media
Foundation (CVE-2020-1379, CVE-2020-1477, CVE-2020-1492, CVE-2020-1525,
CVE-2020-1554) und Netlogon (CVE-2020-1472) werden von Microsoft als
kritisch eingestuft, da sie zur Ausführung beliebigen Programmcodes und zur
vollständigen Kompromittierung der Systeme führen können. Die Schwachstelle
in Netlogon (CVE-2020-1472) behebt Microsoft in einer zweiteiligen Rollout-
Phase und dies erfordert zusätzlich zur Installation der Updates weitere
Schritte. Die zweite Phase des Updates wird im Februar 2021 verfügbar sein
(siehe Referenz).
Im Rahmen des Patchtages im August 2020 stehen Sicherheitsupdates zur
Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft
Security Update Guide über die Kategorie ‘Windows’ identifiziert werden.
Microsoft informiert mit einer Aktualisierung des Security Advisory
ADV990001 über die neuesten Servicing Stack Updates (SSU) für die
unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass
diese unbedingt installiert werden müssen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-1768]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
