[English]Zum 14. April 2020 wurden eine Reihe Sicherheitsupdates für Windows, Office etc. freigegeben. Diese schließen teilweise 0-day-Schwachstellen, aber es gibt auch Kollateralschäden. So funktioniert das VBA-Code-Signing nach Installation der Office-Sicherheitsupdates nicht mehr. Hier ein Überblick, was mir bisher unter die Augen gekommen ist.
Anzeige
Ich hatte ja bereits Details zu den jeweiligen Updates in den am Artikelende verlinkten Blog-Beiträgen veröffentlicht. Hier geht es um kritische Schwachstellen und Probleme, die die Updates verursachen.
Angegriffene Schwachstellen
Die Zero-Day-Initiative (ZDI) hat in diesem Artikel eine Überschicht über alle von Microsoft per Update adressierten Schwachstellen veröffentlicht. Hier die Liste der angegriffenen Schwachstellen.
Schwachstelle CVE-2020-1020
Bei CVE-2020-1020 handelt es sich um die bereits im März 2020 bekannt gewordene Adobe Font Manager Library Remote Code Execution-Schwachstelle in Windows 7. Angreifer können diese Schwachstelle nutzen, um ihren Code auf betroffenen Systemen (mit den Privilegien des jeweiligen Benutzers) auszuführen. Dazu muss der Benutzer aber ein Dokument mit einer speziell gestalteten Schriftart ansehen. Nur Kunden mit einer ESU-Lizenz werden den Patch für Windows 7 und Server 2008 erhalten. Alternativen sind aber BypassESU und 0patch, die diese Schwachstelle auch ohne ESU-Lizenz schließen (siehe auch Patchday: Updates für Windows 7/8.1/Server (14. April 2020) und 0patch fixt 0-day Adobe Type Library bug in Windows 7).
Schwachstelle CVE-2020-0938
Bei CVE-2020-0938 handelt es sich um eine OpenType Font Parsing Remote Code Execution-Schwachstelle. Dieser Fehler steht im Zusammenhang mit der vorherigen Sicherheitslücke CVE-2020-1020, obwohl es einen anderen Schriftart-Renderer betrifft. Auch hier gibt es aktive Angriffe, ein Angreifer könnte seinen Code auf einem Zielsystem ausführen, wenn ein Benutzer eine speziell gestaltete Schriftart betrachtet. Zu beachten ist, dass Windows 10-Systeme von diesen Fehlern weniger betroffen sind, da die Codeausführung in einer AppContainer-Sandbox erfolgen würde.
Hier gibt es aber ein Problem: Bisher scheint es keinen Patch von Microsoft für die Schwachstelle zu geben. Windows 7-Benutzer würden für diesen Patch eine ESU-Lizenz benötigen. Lediglich von 0patch gibt es einen Micro-Patch für Windows 7, der die Ausnutzung der Schwachstelle verhindert.
Schwachstelle CVE-2020-0993
Bei CVE-2020-0993 handelt es sich um eine Windows DNS Denial of Service-Schwachstelle. Ein von Microsoft freigegebener Patch behebt einen Denial-of-Service (DoS)-Fehler im Windows-DNS-Dienst. Beachten Sie, dass es sich dabei um den DNS-Dienst und nicht um den DNS-Server handelt, so dass auch Client-Systeme von dieser Sicherheitslücke betroffen sind. Ein Angreifer könnte den DNS-Dienst dazu veranlassen, nicht zu antworten, indem er einige speziell gestaltete DNS-Abfragen an ein betroffenes System sendet. Da es sich nicht um eine Codeausführung handelt, wird nur diese als wichtig eingestuft. In Anbetracht des Schadens, der durch einen nicht authentifizierten Angreifer verursacht werden könnte, sollte dies jedoch ganz oben auf der Test- und Bereitstellungsliste stehen.
Schwachstelle CVE-2020-0981
Bei CVE-2020-0981 handelt es sich um eine Windows Token Security Feature Bypass-Schwachstelle. Diese Schwachstelle ermöglicht den Ausbruch aus einer Sandbox. Die Schwachstelle resultiert aus der unsachgemäßen Handhabung von Token-Beziehungen durch Windows. Angreifer könnten dies missbrauchen, um einer Anwendung mit einer bestimmten Integritätsstufe zu erlauben, Code auf einer anderen – vermutlich höheren – Integritätsstufe auszuführen. Dies betrifft nur Windows 10 Version 1903 und höher und wurde durch ein Update gepatcht.
Sonstiges
Nachfolgender Tweet greift eine Diskussion um die Zahl der 0-day-Schwachstellen auf, die im April 2020 gepatcht wurden.
There's a lot of confusion this month about the number of 0days Microsoft patched this month. Many reports of only 3, but by my count there are 4: CVE-2020-0938, CVE-2020-1020, CVE-2020-0674 and CVE-2020-1027. https://t.co/C1GgmHr550
— Dan Goodin (@dangoodin001) April 15, 2020
Anzeige
Auch auf askwoody.com gibt es diesen Post, der sich mit der Zahl der 0-day-Schwachstellen, die ausgenutzt werden, befasst.
Das Microsoft Malicious Software Removal Tool wurde im April 2020 übrigens nicht aktualisiert – siehe auch diesen Kommentar.
Probleme mit den April 2020-Updates
Die Sicherheitsupdates vom 14. April 2020 führen bei einigen Nutzern zu Installationsabbrüchen und Folgefehlern.
Temporäres Benutzerprofil
Einige Nutzer, wie hier, laufen in das Problem, dass Updates wie KB4549951 das Benutzerprofil beschädigen, so dass der Anwender nach der Installation an einem temporären Benutzerprofil angemeldet wird. Den Fehler hatte ich bereits im Artikel Windows 10: Update KB4532693 killt Benutzerprofil und weiteren Blog-Beiträgen aufgegriffen.
Diverse Installationsfehler
Einige Nutzer können das Update nicht installieren, da der Vorgang mit einem Installationsfehler abbricht. In diesem Kommentar wird bei Update KB4549951 (Windows 10 Version 1909) der Fehler 0x800f0988 genannt. Einige dieser Fehler hatte ich bereits bei den März-Updates im Artikel Windows 10 V190x: Update KB4541335 macht Probleme angesprochen.
Druckerprobleme durch Patch
Bei askwoody.com gibt es diesen Kommentar eines anonymen Lesers, der auf Druckerprobleme hinweist. Das kumulative Update KB4549951 für Windows 10 Version 1909 führt bei Drucker mit Typ3- und Typ4-Druckertreibern zu Problemen. Die Drucker druckten nicht oder erlaubten keine Änderung der Druckereinstellungen. Es kam der Hinweis, dass der Druckertreiber auf dem Computer installiert werden muss, obwohl die Treiber auf dem Computer installiert waren. Nach dem Entfernen von KB4549951 aus den installierten Updates und einem Neustart funktionierten die Drucker wieder.
Office-Sicherheitsupdates bricken VBA-Code
Die im Artikel Patchday Microsoft Office Updates (14. April 2020) aufgeführten Sicherheitsupdates haben einen unangenehmen Nebeneffekt, auf den nachfolgender Tweet hinweist.
CVE-2020-0760 patch is out. This vulnerability breaks VBA code signing and allows RCE via malicious MS Office documents. The patch changes the way type libraries are handled. More information at https://t.co/rmHozG9ZbA. I submitted a talk with full details to @BlackHatEvents USA.
— Stan Hegt (@StanHacked) April 14, 2020
Alle Sicherheitsupdates, die die Schwachstelle CVE-2020-0760 schließen sollen, können auf betroffenen Systemen dazu führen, dass Referenzen auf Typ-Bibliotheken in Visual Basic for Applications (VBA) blockiert und dann Fehler gemeldet werden. Der Hintergrund: Alle Referenzen auf die nachfolgenden Dateien können blockiert werden,
- Typelibs (*.olb, *.tlb, *.dll)
- Executable files (*.exe)
- ActiveX controls(*.ocx)
wenn sie sich auf Internet- oder Intranet-Servern befinden oder wenn sie aus dem Internet heruntergeladen werden. Microsoft hat diesen Support-Beitrag zu diesem Thema samt einer FAQ veröffentlicht. Der von Microsoft im Beitrag vorgeschlagene Workaround besteht darin, das Nachladen von 'Untrusted'-Inhalten in den Office-Sicherheitseinstellungen wieder zuzulassen.
Ergänzung: In meinem heise-Artikel beschreibe ich für Leute, die nicht so fit sind, wie man die GPOs herunterlädt, importiert und die Richtlinie Zulassen, dass VBA-Typblibliotheksverweise über Pfade von nicht vertrauenswürdigen Intranet-Speicherorten lädt unter Benutzerkonfiguration > Administrative Vorlagen > Microsoft Office 2016 > Sicherheitseinstellungen anwendet.
(Office VBA-GPO, zum Vergrößern klicken)
Ähnliche Artikel:
Microsoft Office Patchday (7. April 2020)
Microsoft Security Update Summary (14. April 2020)
Patchday: Windows 10-Updates (14. April 2020)
Patchday: Updates für Windows 7/8.1/Server (14. April 2020)
Patchday Microsoft Office Updates (14. April 2020)
2015
Bei mir bricht Update KB4549951 mit 0x800f0986 ab…
Das mit CVE-2020-0760 finde ich mal richtig gut, weil es eine Macro-Schwachstelle in Office endlich mal dicht macht. Da konnte nämlich auch Schadcode aus dem Internet nach geladen werden… Also, auf keinen Fall diesen Schutz wieder deaktivieren!
Ja, du hast recht. Doch wir liefern Office-Tools an unsere Kunden aus und ich sehe dunkle Wolken am Himmel…
Ich habe gerade einen Artikel für den heise-Newsticker geschrieben, in dem ich die GPO-Geschichte etwas ausführlicher beleuchte. Ich verlinke hier, wenn der Beitrag online ist.
Internetspeicherorte lassen sich nicht freigegeben. Aber per GPO lässt sich der Zugriff auf Referenzen im lokalen Intranet zulassen. Damit ist die Schwachstelle nicht mehr ganz so groß.
Zum Vorposter: Meine VBA-Buchprojekte sind 14 Jahre und mehr her. Damals war es üblich, ActiveX-Elemente und Klassen-Bibliotheken lokal zu registrieren. Dann trifft das Szenario eh nicht zu. Oder übersehe ich was?
Wahrscheinlich / hoffentlich kein großes Ding.
Doch wir verteilen die Updates bundesweit über das Internet und es ist mühselig, mit zig Admins Details abzusprechen.
Bei Problemen sind wir schuld. Die Reaktion eines Kunden ist ja leider immer gleich: 'Das funktioniert nicht.'
;-)
Ja Günter, wenn die "Entwickler" die registrieren würden – gäbe es keine Probleme.
Gerade Endanwender könnten aber ein nettes Makro schreiben mit irgend einer .dll aus dem Internet.
Insofern man keinen Signierungsprozess hat (Was eine Firma im Zweifel auch erst einmal vor andere Herrausvorderungen stellt) dann ist es leider auch echt schwer zu sagen ob jemand so einen Quatsch verwendet oder nicht :(.
Hast du zufällig ein Demo-Projekt mit dem man die Unterschiede vor dem Patch, nach dem Patch und mit oder ohne GPO testen kann?
Leider nein. Ich hatte sogar die VBA-Entwicklungsumgebung für den heise-Artikel angeworfen, um schnell ein Beispiel zu haben. Musste dann aber feststellen, dass die VBA-Kenntnisse mittlerweile doch zu mager sind, um noch auf die Schnelle mit Late Binding irgend etwas in der Richtung zu experimentieren. Und stundenlang für so ein Orchideen-Thema zu recherchieren und zu testen, war mir der Aufwand dann doch zu groß. Da habe ich diese Zeit lieber in ausgiebige Nordic Walking- und Spaziergänge investiert. Die Betroffenen haben sicher ein Beispiel zur Hand ;-).
KB4549951: Beim Durchlaufen des diesmal lang dauernden Reboots wurde mir kurz ein BSOD gezeigt (den ich natürlich auf die Schnelle nicht lesen konnte). In der Phase vorm Desktop-Start wurde dann normal der weitere Verarbeitungs-Countdown des Updates angezeigt. Das Update wurde dabei letztlich erfolgreich installiert.
(Win 10 Home 1909, 64bit)
Hier wurde bei einem Win7_32-Gast in einer vmware-VM das ssu-update 4-20 kb4550738 als "passt nicht zu diesem Gerät" bemeckert. Auch sec-only kb4550965 und das monthly-rollup kb4550964 konnten nicht installiert werden (KB4528069-Lite als Hintergrund). IE11-roll kb4550905 lief dagegen durch.
Sehr merkwürdig. :(
Das Update KB 4549951 scheint offenbar probleme mit dem Windows Defender Virenschutz zu verursachen. Denn seit dem Definitionsupdate KB2267602 funktioniert der Windows Defender Virenschutz nicht mehr richtig, und schaltet sich nach kurzer zeit ab. Bin nicht der einzige der das Problem hat wie man hier lesen kann.:
https://www.computerbase.de/forum/threads/windows-10-sicherheit-funktioniert-nicht.1938401/
Hab den dort beschriebenen "Fehler "Der Dienst "Windwos Defender Antivirus Service" wurde mit folgendem Fehler beendet: Allgemeiner "Zugriff verweigert"- Fehler." auch in der Ereignisanzeige. Hab erstmal den Virenschutz vom Defender deaktiviert, und einen Drittanbieter Virenscanner installiert als Temporäre abhilfe.
Hab Windows 10 Pro 64-Bit 1909 .
Der Windows Defender Virenschutz fehler scheint auch das kommende Windows 10 2004 zu betreffen.:
https://www.deskmodder.de/blog/2020/04/16/kb4549951-manueller-download-windows-10-1909-18363-778-und-1903-18362-778/
Es gibt den Beitrag SCEP/MSE/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.313.1638.0 (16.4.2020)
Danke für die Information.
Nach Einspielen der Updates auf Arbeitsplatz-PCs konnte lokal auf ältere installierte Drucker gedruckt werden, aber nicht über die jeweiligen Freigaben.
Nach etwas warten und 2 Neustarts der betreffenden PCs ging es wieder.
Sonst bisher keine weiteren Probleme aufgefallen. In meiner Testumgebung klappte es zuvor ohne Probleme.
sehr gut.
Die Updates immer zuerst testen, bevor man sie auf den Echtsystemen installiert.
muss das wirklich zu *jedem* Beitrag angemerkt werden?
Nach der Installation von KB4549951 gab es einen Bluescreen während ich mir gerade einen Stream ansah.
Daneben gab es bei einem Steam Update einen Festplattenschreibfehler (einmalig und sehr ungewöhlich).
Die SSD ist jedoch in Ordnung.
Was haben unsere Lieblinge aus Redmond da wieder verbockt?
(Win 10 Home 1909)
Ich bitte um Entschuldigung, wenn ich mich vielleicht etwas laienhaft ausdrücke, aber vielleicht können die Profis da etwas herausfinden …
Ich beobachte bei Windows 10 schon seit geraumer Zeit, dass da manchmal irgendwelche "Verdauungsvorgänge" im Hintergrund laufen, die (wenn sie durch Benutzeraktionen gestört werden) zu Fehlermeldungen führen. – Eine solche Sache scheint bei mir zu sein, dass ich im Zuverlässigkeitsverlauf (Wartungscenter) die Meldung "Windows wurde nicht ornungsgemäß beendet" finde oder sogar einen BSOD bekomme, wenn eine automatische Wartung durch von mir initiiertes Herunterfahren beendet wurde. – Ähnlich dort die Meldung: "Hardwarefehler", nur weil ich das Notebook zu schnell nach dem ordnungsgemäßen Entfernen des Surfsticks runtergefahren habe.
Kurzum: Man sieht bei Win 10 nicht so recht, wenn es sich im Hintergrund gerade optimiert und aufräumt, innen träger ist als es nach außen aussieht. Das war bei den vorigen Win 10 Versionen auch schon so, wurde aber mit der Zeit immer deutlicher. (Bei meinem NotebookMedion AKOYA S6214T gibt es nur für die zusätzliche Festplatte eine Aktivitätsanzeige, für die System-SSD nicht.)
Seit der Installation der April-Updates für SharePoint 2010, funktioniert die Bearbeitung von Listen auf dem SharePoint-Server nicht mehr. Hat jemand ähnliche Probleme?
Hallo zusammen,
wir haben das Problem, dass nach dem Update bei den Rechnern DFS-Laufwerke nicht mehr gemappt werden.
Kurios ist, wenn man den Pfad manuell eingibt in der Adressleiste eingibt (\\domaene.local\dfs01\…) kommt man auf das Laufwerk bzw die Freigabe normal drauf.
Wenn man sich dann abmeldet und neu anmeldet, sind die Laufwerke auch wieder da wie sie sein sollten ?!
Kann das wer bestätigen?
Schöne Grüße
Sebastian