Windows-Schwachstellen CVE-2020-1464 / CVE-2020-1571 beim August 2020-Patchday geflickt

Microsoft hat zum 11. August 2020 eine vor zwei Jahren gemeldete Schwachstelle CVE-2020-1464  per Sicherheitsupdate beseitigt. Wurde aber auch Zeit, denn die Schwachstelle CVE-2020-1464  wurde inzwischen aktiv ausgenutzt. Eine zweite Schwachstelle CVE-2020-1571 in Windows Setup wurde ebenfalls per Update beseitigt.


Anzeige

Die Schwachstelle CVE-2020-1464 

Microsoft beschreibt die Schwachstelle CVE-2020-1464 (Windows Spoofing Vulnerability) nur als Spoofing-Schwachstelle. Die Spoofing-Schwachstelle bestand darin, das Windows Dateisignaturen fälschlicherweise validiert. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzte, könnte Sicherheitsfunktionen umgehen und falsch signierte Dateien laden. Ein Update für Windows vom 11. August 2020 behebt diese Sicherheitsanfälligkeit in den unterstützten Windows-Versionen. Laut verlinktem Microsoft-Supporartikel stehen Updates für Windows 7 bis Windows 10 und die Server-Pendants bereit.

Details zur Schwachstelle CVE-2020-1464

Brian Krebs berichtet hier einige Details mehr. Die Sicherheitslücke wurde zwei Jahre lang aktiv bei Malware-Angriffen ausgenutzt, bevor Microsoft letzte Woche endlich ein Software-Update zur Behebung des Problems veröffentlichte. Das Ganze wurde von den Sicherheitsforschern Peleg Hadar und Tal Be’ery analysiert und in diesem Medium-Artikel beschrieben.

Fund einer GlueBall-Malware 2018

Im Jahr 2018 wurde ein Malware-Programm, welches als GlueBall bezeichnet wird, erstmals auf VirusTotal hochgeladen. Der Entdecker der GlueBall-Malware berichtete seinerzeit den Fund an Microsoft. Redmond war also über das Problem informiert. Die Schwachstelle bestand in der Art, wie Windows digitale Signaturen von Programmdateien behandelte.

Veröffentlichung der Schwachstelle 2019

Bernardo Quintero, der Manager von VirusTotal, veröffentlichte am 15. Januar 2019 einen Blog-Beitrag über das Problem. Man kann eine gültige MSI-Installer-Datei nehmen, die mit einer gültigen digitalen Signatur versehen ist. Dann lässt sich eine JAVA-Datei (.jar) an diese MSI-Datei anhängen. Benennt man die Dateinamenerweiterung .msi in .jar um, wird aus den beiden Dateien in der MSI-Datei ein JAR-Archiv mit einer JAVA-Anwendung. Das Fatale: Die Java-Anwendungen wird von Windows als gültig anerkannt – und noch schlimmer, die gültige digitale Signatur für die MSI-Datei wurde auf die angehängte .jar-Datei übertragen. Windows erkannte eine gültige Signatur, obwohl die Datei manipuliert war.

Brian Krebs schreibt, dass Bernardo Quintero angab, dass Microsoft seinerzeit entschied, diese Schwachstelle nicht zu beseitigen, während dessen Sicherheitsteam die Ergebnisse von Bernardo Quintero validierten. “Microsoft hat entschieden, dass es dieses Problem in den aktuellen Windows-Versionen nicht beheben wird, und hat zugestimmt, dass wir über diesen Fall und unsere Ergebnisse öffentlich bloggen können”, schloss sein Blog-Post.

August 2020: Bug wird beseitigt

Zum 11. August 2020 hat Microsoft dann beschlossen, die Schwachstelle CVE-2020-1464 per Sicherheitsupdate für für Windows 7 bis Windows 10 und die Server-Pendants zu beseitigen.


Anzeige

Bleeping Computer weist in obigem Tweet auf diesen Sachverhalt hin und hat diesen Artikel mit weiteren Details dazu veröffentlicht. 

Zweite Schwachstelle CVE-2020-1571

In Windows Setup gab es aber noch eine weitere Schwachstelle CVE-2020-1571, die eine Erhöhung der Privilegien  (Privilege Escalation Bug) ermöglichte. Der nachfolgende Tweet weist darauf hin.

Auch diese Schwachstelle wurde mit den Updates zum Patchday 11. August 2020 von Microsoft geschlossen, wie man hier nachlesen kann.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit Sicherheit, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Windows-Schwachstellen CVE-2020-1464 / CVE-2020-1571 beim August 2020-Patchday geflickt


  1. Anzeige
  2. DiWÜ sagt:

    Eine Überraschung.
    Das Sicherheitsupdate:
    2020-08 – Sicherheitsqualitätsupdate für Windows 7 für x64-basierte Systeme (KB4571719), lies sich hier anstandslos installieren, ohne das ich ESU-Kunde bin.

    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4571719

    • haibass sagt:

      dann warn wohl noch reste einer mal benutzten bypass-Option vorhanden.

    • Andreas K. sagt:

      Kann ich nicht bestätigen, es kommt die Fehlermeldung, daß der Windows Modulinstaller (KB2533552) dafür aktualisiert werden muß. Ist er aber schon.

    • DiWÜ sagt:

      Mit Bypass-Optionen oder anderen Möglichkeiten das offizielle Supportende von WIN 7 hinauszuschieben, habe ich mich nicht befasst. Wenn es bei Günters Kommentarspalte einfacher wäre hätte ich einen Screenshot des aktuellen Updateverlaufes mit dem erfolgreich installierten wichtigen Sicherheitsupdate beigefügt.
      Ich kann dazu nur spekulieren. Vielleicht liegt’s an den Updates für den Internet Explorer die ich nach dem Supportende von Windows 7 Home Premium noch regelmäßig, wegen der guten Druck-Möglichkeiten des Browsers, machte. Diese waren komischerweise sehr groß, was mir unverständlich war. Dieser Zweit-PC mit nicht den sicherheitsrelevantesten Aufgaben, wird wohl noch einige Zeit Dienst tun.
      Weiteres dazu wird sich wohl noch zeigen.
      Gleich nach dem offiziellen Supportende versuchte ich damals 2-mal kostenpflichtige Updates normal zu installieren. Diese wurden auch schön installiert und zum Ende der Installation automatisch wieder rückgängig gemacht, kann ich mich erinnern. Der jetzige Anstoß des Sicherheitsupdates war wohl, mir kam in den Sinn irgendwo gelesen zu haben, das Microsoft nach Supportende noch vorher bekannt gewordene Schwachstellen des Betriebssystems als Update nachreichen würde.

  3. 1ST1 sagt:

    Danke, jetzt verstehe ich die Funktionsweise dieser Lücke endlich. Was ein blöder Fehler.

  4. Anzeige

  5. Bernhard Diener sagt:

    Die zweite Lücke ist noch nicht gefixt. Microsoft’s Flickwerk hält nicht, was es verspricht – wird zumindest hier behauptet: https://github.com/klinix5/Windows-Setup-EoP

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.