[English]Das Team von ACROS Security hat mich vor wenigen Stunden informiert, dass es einen Micropatch für die "Stuxnet-artige" kritische LNK RCE-Schwachstelle CVE-2020-0729 freigegeben hat. Diese wird über den 0patch-Agenten für ungepatchte Windows 7 SP1- und Windows Server 2008 R2-Systeme verteilt.
Anzeige
Die LNK RCE-Schwachstelle CVE-2020-0729
Bei CVE-2020-0729 handelt es sich um eine Remote Code Execution-Schwachstelle, die von Microsoft in diesem Advisory am 11. Februar 2020 beschrieben wurde. Die Schwachstelle existiert in der Verarbeitung von LNK-Dateien. Angreifer können dem Benutzer ein Wechsellaufwerk oder eine Remote-Freigabe präsentieren, wo eine LNK-Datei mit einem Verweis auf eine zugehörige bösartige Binärdatei gespeichert ist. Öffnet der Benutzer die auf dem Laufwerk (oder der Remote-Freigabe) gespeicherte .LNK-Datei im Windows Explorer bzw. in einer Anwendung, die die LNK-Datei analysiert, wird die bösartige Binärdatei auf dem Zielsystem ausgeführt.
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte die gleichen Benutzerrechte wie der lokale Benutzer erhalten. Benutzer mit eingeschränkten Konten sind weniger betroffen als Leute, die mit administrativen Benutzerrechten arbeiten. Microsoft sieht die Ausnutzung der Schwachstelle in diesem Advisory vom 11. Februar 2020 als 'wenig wahrscheinlich' an. Es wurden aber beim Februar 2020 Patchday Sicherheitsupdates für alle noch unterstützten Windows-Versionen, von Windows 7 SP1 bis Windows 10 und Windows Server 2008 bis Windows Server 2019 veröffentlicht.
Eine ausführliche Analyse der Remote Code Execution-Schwachstelle CVE-2020-0729 wurde von der Zero-Day-Initiative (ZDI) zum 26. März 2020 in diesem Artikel offen gelegt.
Der 0patch-Microfix für CVE-2020-0729
Für Windows 7 SP1 sowie Windows Server 2008/R2 wird das Update jedoch nur an Kunden im Unternehmensumfeld verteilt, die eine ESU-Lizenz für die betreffenden Maschinen besitzen. Für Nutzer, die den 0patch-Agenten von ACROS Security einsetzen, wurde aber ein Micropatch entwickelt.
Our micropatch has 11 instructions in two patchlets, and is logically identical to Microsoft's official patch. Patchlet 2 makes sure that allocated memory block is initialized, and patchlet 1 performs a pointer check for NULL. pic.twitter.com/oRSUJNzjqA
— 0patch (@0patch) April 3, 2020
Dieser steht für Abonnenten der Pro und Enterprise-Version zur Verfügung. Darauf hat mich Mitja Kolsek vor wenigen Stunden in einer privaten Mitteilung hingewiesen. Auf Youtube gibt es dieses Video, welches den Sachverhalt darstellt. Hinweise zur Arbeitsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Arbeitsspeicher lädt, finden sich in den Blog-Beiträgen (z.B. hier und hier), die ich nachfolgend verlinkt habe.
Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
2015
