[English]Microsoft liefert seit Windows 10 auch die cURL-Bibliothek mit dem Betriebssystem aus. Allerdings bekommt Redmond es nicht gebacken, die ausgelieferte cURL-Version bei bekannt gewordenen Sicherheitslücken zeitnah zu aktualisieren. Das führt dazu, dass Curl-Versionen mit bekannten Sicherheitslücken unter Windows vorhanden sind. Falls jemand auf die Idee kommt, das cURL-Paket einfach aus Windows zu löschen (oder von einem Virenscanner, der die Version mit der Schwachstelle bemängelt, löschen zu lassen), zerschießt sich das Windows-Update.
Anzeige
Was ist cURL?
cURL ist eine Programmbibliothek und ein Kommandozeilen-Programm zum Übertragen von Dateien in Rechnernetzen. Entwickler ist Daniel Stenberg, der die erste Version 1998 veröffentlicht hat. Aktuell ist die Version 8.0.1 vom 20. März 2023. cURL steht unter der offenen MIT-Lizenz und ist in verschiedenen Betriebssystemen in Verwendung.
Microsoft liefert cURL seit Anfang 2018 mit Windows 10 und auch in neueren Windows-Versionen mit.
Schleppende cURL-Aktualisierung in Windows
Microsoft schlampt aber gelegentlich bei der Aktualisierung des in Windows mitgelieferten cURL-Pakets. Ich hatte im Blog-Beitrag Windows Januar 2022-Sicherheitsupdates für cURL-Schwachstelle CVE-2021-22947 – ein zähes Unterfangen auf einen solchen Fall hingewiesen. Der deutsche Sicherheitsexperte Stefan Kanthak hatte Microsoft im Sommer 2021 auf eine Schwachstelle in cURL hingewiesen, die auch bestätigt wurde. Allerdings benötigte Microsoft bis Januar 2022, bevor ein Update bereitgestellt wurde.
Gelösches cURL macht Update kaputt
Die obige Episode hatte ich im Hinterkopf, als ich bei den Kollegen von Golem vor einigen Wochen auf diesen Beitrag stieß. Golem war der Blog-Beitrag DELETING SYSTEM32\CURL.EXE von Daniel Steinberg vorm 24. April 2023 aufgefallen. Auch Stenberg weist in seinem Beitrag darauf hin, dass Microsoft erstens für die Aktualisierung von cURL in Windows verantwortlich sei, da die die Bibliothek aus den Quellcodes des Projekts eigenverantwortlich compilieren. Zweitens führt Stenberg auch die langsame Reaktion Microsoft auf Schwachstellen (am Beispiel von CVE-2022-43552) ins Feld.
Das führt mitunter dazu, dass die Windows-Version von cURL.exe bekannte Sicherheitslücken aufweist. Antivirus-Lösungen könnten dies erkennen und Alarm schlagen. Ab dem 21. Dezember 2022 gab es den Fall, dass Virenscanner Installationen von cURL in Windows 10/11 wegen der bekannten Schwachstelle CVE-2022-43552 bemängelten. Microsoft selbst hat erst am 11. April 2023 mit KB5025221 cURL für die aktuellen Windows 10-Versionen auf die Version 8.0.1 aktualisiert.
Benutzer, die in der Zwischenzeit die curl.exe wegen der gemeldete und vorhandenen Schwachstelle in Quarantäne verschieben oder löschen ließen (im Microsoft Answers-Forum gab es solche "hilfreichen" Ratschläge), liefen aber in ein anderes Problem. Die Sicherheit war dann zwar wiederhergestellt, gleichzeitig hatten sie Windows Update zerschossen. Denn Windows stellte fest, dass die Update-Funktion (durch das Löschen von cURL) manipuliert worden war und stellte die Funktionalität ein.
Stenberg schreibt, dass er nicht weiß, wie sich dieses Windows Update wieder reparieren ließe. Ich selbst würde eine Prüfung auf beschädigte Systemdateien mittels sfc /scannow und dism versuchen (siehe auch Windows 8: Komponentenstore reparieren). Hilft dies nicht, bleibt nur noch, ein Backup einzuspielen. Die Episode zeigt erneut, wie komplex Windows geworden ist und dass Microsofts Entwickler heillos überfordert zu sein scheinen, Fremdkomponenten mit bekannten Schwachstellen zeitnah zu aktualisieren.
Ähnliche Artikel:
Windows 10: tar und curl sollen kommen
Windows Januar 2022-Sicherheitsupdates für cURL-Schwachstelle CVE-2021-22947 – ein zähes Unterfangen
2015
"Die Episode zeigt erneut, wie komplex Windows geworden ist und dass Microsofts Entwickler heillos überfordert zu sein scheinen, Fremdkomponenten mit bekannten Schwachstellen zeitnah zu aktualisieren."
Es ist noch VIEL schlimmer: diese Frickler sind auch heillos überfordert, seit dem letzten Jahrtausend bekannte Schwachstellen in den EIGENEN Komponenten zu beseitigen, bzw. sie IGNORIEREN die Sicherheitsbulletins ihrer eigenen Klitsche!
Beispiel: (fast) alle mit Windows gelieferten Programme laden (nicht nur System-) DLLs zuerst aus dem Verzeichnis in dem sie selbst liegen, d.h. sie sind anfällig für "Search Order Hijacking" https://capec.mitre.org/data/definitions/471.html
https://skanthak.homepage.t-online.de/!execute.html zeigt, wie diese Schwachstelle seit 10 bzw. 7 Jahren TRIVIAL beseitigt werden kann.
https://skanthak.homepage.t-online.de/sloppy.html und https://skanthak.homepage.t-online.de/tempest.html zeigen weitere, fahrlässig offen gelassene Scheunentore.
Mir stellt sich dann die Frage, wenn das so trivial zu beseitigen ist, haben die kein Interesse daran?
Ich mag mir nicht vorstellen, dass Entwickler bei Microsoft das Know How nicht haben, denn das wäre ja sehr bedenklich.
Zuständigkeit und Verantwortung sind wohl das Problem. Sobald eine Komponente als etabliert gilt, gibt es keine zuständige Gruppe mehr, die sich kümmert oder es sind von vornherein nur Einzelpersonen die es gebaut haben. zudem wechseln die Mitarbeiter oft sehr schnell innerhalb der internen Strukturen
Das würde ich ja noch akzeptieren, wenn es um kosmetische Dinge geht, aber gerade bei der Sicherheit sollte es doch ein Security-Team geben die solche Dinge aufgreift! Zumal diese ja seit langem bekannt sind. Und es geht ja hier nicht um eine kleine Bastel-Linux-Distro, die einer alleine strickt, sondern um ein OS, das millionenfach, auch im Firmenumfeld eingesetzt wird.
Wenn ich dann immer wieder sehe, was sie für "tolle", neue Funktionen in ihre Windows Security (Defender) einbauen und hier lassen sie dann solche Lücken offen.
Ist doch bereits seit Jahren bekannt das bei Microsoft mittlerweilen der Kunde Betatester ist und die Qualitätssicherung bei MS total unterbesetzt bzw. erst gar nicht vorhanden ist!
Passiert halt wenn man ein OS als Bloatware aufbläst! Schuster bleib bei deinen Rappen… Nen OS ist nen OS ist nen OS, das die grundlegeneden Betriebsfunktionen bereitzustellen hat und sonst nichts!
@Luzifer
So sehe ich das auch! Ich brauche nur ein OS, als Basis für meine Nutzerprogramme. Ich habe noch ein Notebook mit W10, wenn ich das hin und wieder nutze und immer schon die Werbeeinblendungen ständig bekomme. Alleine permanent für ihr Office365….
Ein Problem dürfte hier sein das auch andere Entwickler nicht mit ihrem Kram klarkommen. Denn warum sollten Entwickler eines Programms überhaupt irgendwelche System DLLs mit ihren Anwendungen mitliefern? Ganz einfach weil ihr Programm vielleicht nur mit der entsprechenden Version ordentlich läuft! Das passiert auch leider viel häufiger als man zunächst denken würde. Würde Microsoft also das Laden von System DLLs aus dem Verzeichnis der Anwendung blockieren wäre der Aufschrei sicher riesig weil der Kram von den anderen Fricklern dann nicht mehr läuft.
curl scheint mit dem April-Update auf die Version 8.0.1 aktualisiert worden zu sein.
Win10_22h2_19045.2913_x86 hat die curl.exe v8.0.1.0
https://abload.de/img/w22h2x86k9fz8.jpg
Es ist immer problematisch, von Windows mitgelieferte Dateien zu löschen. Microsoft liefert diese Dateien aus irgendeinem berechtigten Grund mit, für irgendwas wird das gebraucht. Man sollte das nicht löschen, weil man denkt, das brauche ich nicht. (Allerhöchstens umbennennen, damit es nicht mehr gefunden wird, und man jederzeit zurück kann!) Besser ist es, sowas für normale Benutzer zu sperren, dann kann es nicht benutzt werden (um Schaden anzurichten!). Hier bietet sich SAFER (Software Restriction Policy, SRP) oder Applocker an. Auch manche Antiviren-Programme bieten eine Application Control Policy an. Dann läuft man nicht in solche Fallen.
Reparatur: gelöschtes curl.exe von einem anderen aktualisierten System rüber kopieren.
Hatte Windows nicht mal so etwas wie eine Systemwiederherstellung? Aus der es fehlende Dateien selbst zurückholt? Oder hat man das zusammen mit Windows 7 beerdigt?
Wenn ich dran denke, wie mühsam es ist, all die Fonts exotischer Schriften, die Windows als essentiell erachtet, loszuwerden. Da dürfte es eigentlich gar nicht sein, dass man Dateien, die Windows wirklich braucht, unersetzbar entfernen kann.
Eher, dass es von MS eine Trotzreaktion mit pädagogischer Intention ist: „Wehe, du änderst was an UNSEREM System. Wir strafen dich dafür mit Update-Entzug!"
Die Systemwiederherstellung ist inzwischen standardmäßig deaktiviert.
Hmm interessant. Bei mir ist die ständig wieder an obwohl ich das nicht will so z.B. nach dem Klonen des Systems auf eine neue SSD. Auch bei einer Neuinstallation ist die Systemwiederherstellung bei mir immer für Laufwerk C aktiv.
muss ich bei Gelegenheit in meiner vor einigen Tagen aufgesetzten W11 VM nochmals prüfen
Wie schon geschrieben: Die Systemwiederherstellung ist standardmäßig deaktiviert. Wenn sie "ständig wieder an" ist, ist Malware auf dem System aktiv.