Patchday: Probleme mit SCCM, McAfee & Crypt32.dll (Jan 2020)?

Windows Update[English]Gibt es eventuell Probleme im Zusammenhang mit dem letzten Patchday (Januar 2020), bei dem ja die Datei Crypt32.dll gepatcht wurde. Ein Leser hat mir eine entsprechende Frage geschickt, wobei McAfee und der SCCM in seiner Umgebung werkeln. Aktuell scheint der McAfee den Zugriff des SCCM-Agenten smsexec.exe auf eine RSA-Schlüssel zu blockieren.


Anzeige

Hintergrund: Die NSA-Schwachstelle CVE-2020-0601

Zum Januar 2020-Patchday wurde ja die von der NSA entdeckte und an Microsoft gemeldete Schwachstelle CVE-2020-0601 öffentlich. Zur Erinnerung: In der Bibliothek Crypt32.dll (CryptoAPI) gibt es eine ‘Spoofing-Schwachstelle’ CVE-2020-0601, die von Angreifern ausgenutzt werden könnte. Ein Angreifer hätte die Möglichkeit, ein gefälschtes Code-Signatur-Zertifikat zum Signieren einer bösartigen ausführbaren Datei zu verwenden, ohne das Windows das merkt.

Ein erfolgreicher Exploit könnte es dem Angreifer auch ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und vertrauliche Informationen über Benutzerverbindungen zu der betroffenen Software zu entschlüsseln. Ich hatte im Blog-Beitrag Windows: Kommt heute ein kritischer Kryptografie-Patch? sowie im Beitrag Windows: Neues zur NSA-Schwachstelle CVE-2020-0601 über den Sachverhalt berichtet. Microsoft hat zudem am 14.1.2020 diesen Blog-Beitrag veröffentlicht.

Microsoft gibt an, dass Windows 10, Windows Server 2016 und 2019 betroffen sind und hat entsprechende cumulative Updates zum Schließen der Schwachstelle bereitgestellt (siehe CVE-2020-0601 und meinen Blog-Beitrag Patchday Windows 10-Updates (14. Januar 2020)).

Leserfrage zu Problemen

Heute ist mir von Blog-Leser Patrick D. eine Info zugegangen, in der er nachfragt, ob mir Probleme im Zusammenhang mit der gepatchten Crypt32.dl bekannt seien. Ich stelle seine Informationen mal hier im Blog ein – vielleicht ist ja noch jemand betroffen und kann das bestätigen.

Mir fiel nach den Patchday heute morgen folgendes im Zusammenspiel mit SCCM und McAfee auf.

Event ID McAfee Endpoint Security from EventID=18060
NT AUTHORITY\SYSTEM ran smsexec.exe, which tried to access C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\
b173a4ca6eeb3a8529b5390fef6b81be_abb57870-155d-4625-9eb2-c73c0e888e7d, violating the rule “Malware Behavior : Windows EFS abuse”, and was blocked. For information about how to respond to this event, see KB85494. was raised.
Event Descritpion:
EventID=18060

Wenn man sich dann das File anschaut ist es ein Self Signed “SMS User Service” Zertifikat. Da gerade ja die Crypt32.dll gepatched wurde, könnte die schon daher rühren. Das Cert selbst ist noch valide.

Des weiteren tritt dasselbe bei einer weiteren Software auf.

Gab es bei ihnen schon Meldungen? Wir werden es jedenfalls an den Premiersupport&McAfee eskalieren.

Ich selbst habe sonst noch nichts dergleichen vernommen und das Web kennt auch noch nichts. Aber es schaut so aus, als ob der Agent smsexec.exe (SCCM Microsoft SMS Agent Host service) von McAfee am Zugriff auf ein Zertifikat gehindert wird. Irgend jemand, der die Konstellation SCCM und gepatchte Windows 10/Server-Systeme mit McAfee-Unternehmenslösungen einsetzt, und das verifizieren kann?


Anzeige
Dieser Beitrag wurde unter Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Patchday: Probleme mit SCCM, McAfee & Crypt32.dll (Jan 2020)?


  1. Anzeige
  2. Meyer sagt:

    Hallo,
    gleicher Fehler ist bei uns in der Umgebung auch zu verzeichnen. Kombination SCCM und McAfee. Das Event wird stündlich ausgelöst.
    “NT-AUTORITÄT\SYSTEM hat D:\SMS\bin\X64\smsexec.exe ausgeführt. Dieser Prozess hat versucht, auf C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\
    cd392c7f36e7442b875ded4f79ca2643_bc44bea8-fb85-4eb8-b254-62e6f2c02f2e zuzugreifen, hat damit die Regel “Malware Behavior : Windows EFS abuse” verletzt und wurde daher blockiert.”

  3. Matt sagt:

    McAfee has now produced guidance on this, entitled “EXPLOIT PREVENTION
    SIGNATURE 6148 – FALSE POSITIVE MITGATION FOR NON-STANDARD INSTALL PATHS”.

    The simplest way to resolve is to enable an Exclusion within the relevant McAfee Exploit Prevention policy (or policies), containing the path of SMSEXEC.EXE (and optional MD5 hash).

  4. Anzeige

  5. Jenny sagt:

    Exchange Server 2019 auf Windows Server 2019 bringt einen Fehler, wenn man ein neues Zertifikat (New-ExchangeCertificate) erstellen oder aktivieren (Enable-ExchangeCertificate) will.

    A special Rpc error occurs on server : Could not grant Network Service access to the certificate with thumbprint XXX because a cryptographic exception was thrown. InvalidOperationException

    Liegt auch daran, dass McAfee den Zugriff blockiert. Fügt man den Prozeß als Ausnahme beim Exploit-Schutz hinzu wie Matt bereits schrieb (https://kc.mcafee.com/corporate/index?page=content&id=KB92350&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=de_DE) geht’s wieder.
    Log Name: Application
    Source: McAfee Endpoint Security
    Event ID: 3
    Task Category: None
    Level: Error
    Keywords: Classic
    User: SYSTEM
    Description:
    EventID=18060

    NT AUTHORITY\SYSTEM hat E:\Exchange Server\Bin\Microsoft.Exchange.ServiceHost.exe ausgeführt. Dieser Prozess hat versucht, auf C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\xxx zuzugreifen, hat damit die Regel “Malware Behavior : Windows EFS abuse” verletzt und wurde daher blockiert. In KB85494 wird erläutert, wie Sie auf dieses Ereignis reagieren können.

  6. Patrick sagt:

    Hi,
    vorhin kam auch die Rückmeldung vom Support:
    https://kc.mcafee.com/corporate/index?page=content&id=KB92350

    Gruß Patrick

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.