Microsoft Security Advisory Notification (3./10.12.2019)

Publiziert am 16. Dezember 2019 von Günter Born

[English]Noch ein Nachtrg aus den letzten Tagen. Microsoft hat im Dezember 2019 verschiedene Sicherheitsbenachrichtigungen zu diversen Schwachstellen veröffentlicht.

Anzeige

Security Advisory Released (3. Dezember 2019)

Microsoft Security Advisory ADV190026: Microsoft Guidance for cleaning up orphaned keys generated on vulnerable TPMs and used for Windows Hello for Business

– Reason for Revision: Information published.
– Originally posted: December 3, 2019
– Updated: N/A
– Version: 1.0

Microsoft ist ein Problem in Windows Hello for Business (WHfB) mit öffentlichen Schlüsseln bekannt. Das tritt auf, nachdem ein Gerät aus dem Active Directory entfernt wurde. Nachdem ein Benutzer Windows Hello for Business (WHfB) eingerichtet hat, wird der öffentliche Schlüssel WHfB in das lokale Active Directory geschrieben. Die WHfB-Schlüssel sind an einen Benutzer und ein Gerät gebunden, das zu Azure AD hinzugefügt wurde.

Wird das Gerät entfernt, gilt der entsprechende WHfB-Schlüssel als verwaist. Diese verwaisten Schlüssel werden jedoch nicht gelöscht, auch wenn das Gerät, auf dem sie erstellt wurden, nicht mehr vorhanden ist. Jede Authentifizierung bei Azure AD mit einem solchen verwaisten WHfB-Schlüssel wird abgelehnt.

Einige dieser verwaisten Schlüssel können jedoch in Active Directory 2016 oder 2019, entweder in hybriden oder lokalen Umgebungen, zu folgenden Sicherheitsproblemen führen.

Ein authentifizierter Angreifer könnte verwaiste Schlüssel erhalten, die auf TPMs erstellt wurden, die von CVE-2017-15361 (ROCA) betroffen waren, wie in der Microsoft Security Advisory ADV170012 beschrieben, um ihren privaten WHfB-Schlüssel aus den verwaisten öffentlichen Schlüsseln zu berechnen. Der Angreifer könnte sich dann mit dem gestohlenen privaten Schlüssel als Benutzer ausgeben, um sich mit der Public Key Cryptography for Initial Authentication (PKINIT) als Benutzer innerhalb der Domäne zu authentifizieren.

Dieser Angriff ist auch dann möglich, wenn Firmware- und Software-Updates auf TPMs angewendet wurden, die von CVE-2017-15361 betroffen waren, da die entsprechenden öffentlichen Schlüssel möglicherweise noch im Active Directory vorhanden sind. Der Microsoft-Ratgeber gibt Hinweise zur Bereinigung verwaister öffentlicher Schlüssel, die mit einem nicht gepatchten TPM erzeugt wurden (bevor Firmware-Updates, die in ADV170012 beschrieben sind, angewendet wurden).

Microsoft Security Update Releases 10. Dezember 2019

Zum 10. Dezember 2019 hat Microsoft einen weiteren Sicherheitshinweise bezüglich folgender revidierter CVEs herausgegeben:

* CVE-2018-0859
* CVE-2019-0838
* CVE-2019-0860

Anzeige

Revision Information:

CVE-2018-0859 | Scripting Engine Memory Corruption Vulnerability
– Version: 2.0
– Reason for Revision: Revised the Security Updates table to include supported
editions of Windows 10 Version 1903 because it is affected by this CVE. Microsoft
recommends that customers running Windows 10 Version 1903 install security update
4530684 to be protected from this vulnerability.
– Originally posted: February 13, 2018
– Updated: December 10, 2019
– Aggregate CVE Severity Rating: Critical

CVE-2019-0838 | Windows Information Disclosure Vulnerability
– Version: 2.0
– Reason for Revision: Revised the Security Updates table to include supported
editions of Windows 10 Version 1903 because it is affected by this CVE. Microsoft
recommends that customers running Windows 10 Version 1903 install security update
4530684 to be protected from this vulnerability.
– Originally posted: April 9, 2019
– Updated: December 10, 2019
– Aggregate CVE Severity Rating: Important

CVE-2019-0860 | Chakra Scripting Engine Memory Corruption Vulnerability
– Version: 2.0
– Reason for Revision: Revised the Security Updates table to include supported
editions of Windows 10 Version 1903 because it is affected by this CVE. Microsoft
recommends that customers running Windows 10 Version 1903 install security update
4530684 to be protected from this vulnerability.
– Originally posted: April 9, 2019
– Updated: December 10, 2019
– Aggregate CVE Severity Rating: Critical

Servicing-Stack-Update ADV990001

Zudem wurde ein Servicing Stack Update (SSU) (siehe ADV990001) für Windows Server  2008 und Windows Server 2008 (Server Core Installation); Windows 7, Windows Server
2008 R2, und Windows Server 2008 R2 (Server Core Installation) freigegeben.

– Originally posted: November 13, 2018
– Updated: December 10, 2019
– Aggregate CVE Severity Rating: Critical

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.