Windows 0-day ADV200006 per GPO abschwächen

[English]Kleiner Hinweis für Administratoren großer Windows-Umgebungen im Active Directory-Umfeld, die die 0-day-Schwachstelle ADV200006 stopfen müssen. Eine Abschwächung (Mitigation) ist mittels Gruppenrichtlinien möglich.


Anzeige

Die Windows 0-day-Schwachstelle ADV200006

In allen unterstützten Windows-Versionen gibt es eine zwei ungepatchte Schwachstellen in der Adobe Type 1 Manager Library. Beide Schwachstellen ermöglichen eine Remote-Codeausführung, weil die Windows Adobe Type Manager Library eine speziell entwickelte Multi-Master-Schriftart – das Adobe Type 1 PostScript-Format – nicht korrekt verarbeitet. Ein Angreifer kann die Sicherheitslücke ausnutzen, wenn er z. B. einen Benutzer dazu bringt, ein speziell gestaltetes Dokument zu öffnen oder es im Windows-Vorschaufenster anzuzeigen.

Die Information findet sich in ADV200006, betroffen sind alle Windows-Versionen, von Windows 7 SP1 über Windows 8.1 bis hin zu Windows 10 – und natürlich alle Server-Pendants. Auf Systemen mit Windows 10 kann ein erfolgreicher Angriff nur in einem AppContainer-Sandbox-Kontext stattfinden und ermöglicht somit nur begrenzte Berechtigungen und Fähigkeiten zur Ausführung von Code. Hacker versuchen inzwischen diese Schwachstelle auszunutzen. Microsoft ist sich dieser Schwachstelle bewusst und arbeitet an einer Lösung, hat bisher aber keinen Patch vorgelegt. Ich erwarte diese zum regulären Patchday, am 14. April 2020.

Schwachstellen per GPO abschwächen

Von Microsoft gibt es für ältere Betriebssysteme wie Windows 7 SP1 und Windows 8.1 sowie deren Server-Pendants Workarounds, um die Ausnutzbarkeit der Schwachstelle zu verhindern. Microsoft hat diese Workarounds in ADV200006 veröffentlicht. In größeren Firmenumgebungen sind diese Ansätze aber nicht gangbar. 

Microsoft MVP Sylvain Cortes hat einen Blog-Beitrag veröffentlicht, wie man mittels Gruppenrichtlinien die Ausnutzbarkeit der betreffenden Schwachstellen erschweren oder verhindern kann. Dazu gehört das Abschalten der Vorschau im Windows-Explorer, sowie die Deaktivierung des WebClient – beides Maßnahmen, die auch von Microsoft in ADV200006 vorgeschlagen werden. Details finden sich im entsprechenden Blog-Beitrag.

Ähnliche Artikel:
0-Day-Schwachstelle in Windows Adobe Type Library
Microsoft aktualisiert ADV200006 (Type 1 Font Parsing RCE)
0patch fixt 0-day Adobe Type Library bug in Windows 7


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Windows 0-day ADV200006 per GPO abschwächen

  1. 1ST1 sagt:

    Ich hab jetzt auf eine schlauere Abhilfe gehofft, als das da. Wenn ich unseren Benutzern die Dateivorschau wegneheme, kann ich mich nicht mehr in der Kantine blicken lassen, wo ich allen über den Weg laufen würde. Ach, nee, die Kantine ist ja momentan zu, na dann kann ich das … klick klick … click … … … … warum rennen mir die Leute gerade die Bürotür ein … aua … aua… hiiiiillllfe… jaja ist ja gut ich mach das sofort rückgängig …

  2. 1ST1 sagt:

    Apropos, gibt jetzt Test-Exploits für die SMB-V3-Kompressionslücke, funzt wirklich, eben in einer ungepatchten VM getestet… Der eine macht Bluescreen übers Netzwerk, der andere öffnet eine Eingabeaufforderung mit SYSTEM Kontext…

    https://www.kitploit.com/2020/03/cve-2020-0796-cve-2020-0796-pre-auth-poc.html
    https://www.kitploit.com/2020/03/cve-2020-0796-windows-smbv3-lpe-exploit.html

    Nett, net?

    Man muss allerdings Defender davon überzeugen, dass er die Files nicht in Karantäne schickt, der kennt die Bösewichte nämlich schon. Auch Firefox macht erstmal Downloadverweigerung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.