[English]ACROS Security hat einen Micropatch für ein 0-Day-Schwachstelle in Windows 7 und Server 2008 R2 (ohne ESU-Lizenz) veröffentlicht. Hier einige Informationen zu diesem Micropatch.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Die 0-Day-Schwachstelle
Am 12. November 2020 veröffentlichte der Sicherheitsforscher Clément Labro eine detaillierte Analyse einer lokalen Privilegieneskalations-Schwachstelle, die Windows 7 und Windows Server 2008 R2 betrifft. Auf einem typischen Windows 7- und Server 2008 R2-Rechner stellte ein vom Sicherheitsforscher geschriebenes Tool fest, dass alle lokalen Benutzer Schreibberechtigungen für zwei Registrierungsschlüssel haben:
HKLM\SYSTEM\CurrentControlSet\Dienste\Dnscache
HKLM\SYSTEM\CurrentControlSet\Dienste\RpcEptMapper
Clément und heraus, dass die Windows-Leistungsüberwachung dazu gebracht werden kann, von diesen Schlüsseln zu lesen – und eine von einem lokalen Angreifer bereitgestellte DLL zu laden. Diese DLL wird nicht als lokaler Benutzer, sondern als Lokales System geladen und ausgeführt.
Ein lokaler Standard-Benutzer kann auf dem Computer einen Leistungs-Unterschlüssel in einem der oben genannten Schlüssel erstelle. Trägt er in den Unterschlüssel einige Werten ein und löst die Leistungsüberwachung aus, führt das dazu, dass ein lokaler System WmiPrvSE.exe-Prozess die DLL des Angreifers lädt und Code davon ausführt.
Es handelt sich um eine 0-Day-Schwachstelle, für die es (zum Zeitpunkt des Verfassens dieses Artikels) noch keine offizielle Lösung gibt. Obwohl diese Windows-Plattformen im Januar dieses Jahres das Ende des Supports erreicht haben, sind die Extended Security Updates (ESU) für sie jedoch noch bis Januar 2023 verfügbar – daher sind derzeit sogar vollständig ESU-aktualisierte Rechner von diesem Problem betroffen.
0patch-Fix für Windows 7 SP1/Server 2008 R2
ACROS Security hat einen Micropatch für die 0-Day-Schwachstelle entwickelt. Der Entwickler Mitja Kolsek hat mich über eine private Nachricht auf diesen Tweet mit den Informationen zur Freigabe des Micropatches für Windows 7 SP1 und Windows Server 2008 R2 hingewiesen. Details zum Patch finden sich in diesem Blog-Beitrag.
(0patch Fix für die 0-Day-Schwachstelle)
Dieser Micropatch ist für alle 0patch-Benutzer mit FREE und PRO-Lizenz ab sofort verfügbar und wird bereits auf alle Online-Computer mit 0patch Agent angewendet (außer in nicht standardmäßigen Enterprise-Konfigurationen). Wie immer ist kein Neustart des Computers erforderlich und die Arbeit der Benutzer wird nicht unterbrochen. Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (z.B. hier), die ich unten verlinkt habe.
Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1062 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1300 in Windows 7/Server 2008 R2
0patch unterstützt Office 2010 nach dem Supportende mit Micropatches
MVP: 2013 – 2016
Opatch funktioniert fast unmerkbar und tadellos im Hintergrund ohne dass Windows (7) beeinträchtigt wird. Da zahle ich gerne die paar Euro für die PRO-Version.