Zwei kritische 0-Day-Lücken bedrohen Windows

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35839
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Zwei kritische 0-Day-Lücken bedrohen Windows

Beitrag von doelf »

Microsoft warnt vor zwei kritischen 0-Day-Lücken, welche Windows 7 bis 10, Windows RT 8.1 sowie Windows Server 2008 bis 2019 bedrohen. Die beiden Fehler stecken in der Bibliothek atmfd.dll, also im Adobe Type Manager. Es ist bereits zu gezielten Attacken gekommen, in deren Verlauf die Angreifer Schadcode platzieren und ausführen konnten. Ein Patch steht noch aus, aber es gibt mehrere Workarounds, um die Gefahr zu minimieren.

Was über die Sicherheitslücken bekannt ist
Wie Microsoft erklärt, patzt atmfd.dll bei der Verarbeitung von Schriftarten im PostScript-Format "Adobe Type 1". Wird eine solcher Font entsprechend manipuliert, führt der Parser den enthaltenen Schadcode schlimmstenfalls im Rechtekontext des Kernels aus. Damit atmfd.dll aktiv wird, muss nicht einmal ein präpariertes Dokument geöffnet werden, denn die Speicherfehler lassen sich bereits über die Vorschaufunktion des Explorers (Windows Explorer, NICHT Internet Explorer) ansprechen.

Alle Windows-Versionen betroffen, aktuelle sind aber besser geschützt
Was die akute Gefährdung betrifft, gibt es hinsichtlich der unterschiedlichen Windows-Versionen deutliche Unterschiede: Bis Windows 10 Version 1607 und Server 2016 werden installierte Fonts im Kernel-Modus ausgeführt, was das größte Risiko darstellt. Ab Windows 10 Version 1703 kommt ein App-Container im User-Modus zum Einsatz, wodurch die Tragweite der Angriffe deutlich reduziert wird. Ab Windows 10 Version 1709 gehört die Bibliothek atmfd.dll nicht mehr zum standardmäßigen Lieferumfang von Windows 10, so dass der Angriff scheitert. Allerdings kann atmfd.dll von Drittanbieterprogrammen installiert werden, so dass auch Windows 10 Version 1909 angreifbar bleibt.

Die vorgeschlagenen Gegenmaßnahmen
Eine von Microsoft vorgeschlagene Gegenmaßnahme zielt darauf ab, die Vorschau zu deaktivieren. Sollte ein Benutzer eine manipulierte Datei öffnen, bleibt diese Vorkehrung allerdings wirkungslos. Weiterhin schlagen die Redmonder vor, den WebClient-Dienst zu stoppen, um WebDAV (Web Distributed Authoring and Versioning) als wahrscheinlichsten Einfallsvektor zu versperren. Den auf diese Weise geschützten PCs bleibt dann allerdings der Zugriff auf WebDAV-Freigaben verwehrt. Wir erachten den dritten Vorschlag als den sinnvollsten: Die Umbenennung der verwundbaren Bibliothek atmfd.dll, welche man im Windows-Verzeichnis in den Unterordnern "system32" (32- und 64-Bit Varianten von Windows) und "syswow64" (nur 64-Bit Varianten von Windows) findet.

Flicken in Arbeit
Laut Microsoft arbeitet man bereits an einer dauerhaften Lösung, doch von einer außerplanmäßigen Veröffentlichung ist noch keine Rede. Stattdessen verweist das Unternehmen auf seinen monatlichen Patch-Day-Zyklus, der immer am zweiten Dienstag eines Monats stattfindet. Dummerweise ist der 31. März 2020 ein Dienstag, wodurch der nächste Patch-Day erst am 14. April 2020 abgehalten wird. Dass Microsoft wirklich mehr als drei Wochen warten wird, bis diese 0-Day-Lücken endlich abgedichtet werden, halten wir für weniger wahrscheinlich.

Microsofts Sicherheitswarnung inklusive der Gegenmaßnahmen: ADV200006 - Type 1 Font Parsing Remote Code Execution Vulnerability
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35839
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Zwei kritische 0-Day-Lücken bedrohen Windows

Beitrag von doelf »

Der Fix - Eingabe-Aufforderung mit Admin-Rechten öffnen und dann folgende Befehle eingeben oder diese als Batch-Datei ausführen:

Windows 32- und 64-Bit:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
zusätzlich nur Windows 64-Bit:
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8875
Registriert: 17 Feb 2004, 07:12

Re: Zwei kritische 0-Day-Lücken bedrohen Windows

Beitrag von The Grinch »

Seltsam, Fix in eine Batch gepackt, als Admin in der CMD gestartet und da kam nur
"kann die angegebene Datei nicht finden"

Whats wrong?

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35839
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Zwei kritische 0-Day-Lücken bedrohen Windows

Beitrag von doelf »

Aktuelles Windows 10? Da gibt es keine atmfd.dll mehr. Schau mal in den Ordnern nach.
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8875
Registriert: 17 Feb 2004, 07:12

Re: Zwei kritische 0-Day-Lücken bedrohen Windows

Beitrag von The Grinch »

WinX 1909, und Nein!
Frag nicht warum, ich kann Dir das nicht beantworten.

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35839
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Zwei kritische 0-Day-Lücken bedrohen Windows

Beitrag von doelf »

Diese .dll ist nicht mehr in der Version 1909 enthalten:
Ab Windows 10 Version 1709 gehört die Bibliothek atmfd.dll nicht mehr zum standardmäßigen Lieferumfang von Windows 10, so dass der Angriff scheitert. Allerdings kann atmfd.dll von Drittanbieterprogrammen installiert werden, so dass auch Windows 10 Version 1909 angreifbar bleibt.
Alles gut!

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35839
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Zwei kritische 0-Day-Lücken bedrohen Windows

Beitrag von doelf »

Microsoft hat ergänzt, dass bisher nur Angriffe auf Windows 7 beobachtet wurden. Das macht Sinn, da dort der Schadcode im Kernel-Modus ausgeführt wird, was das größte Risiko darstellt.

Ab Windows 10 Version 1703 kommt ein App-Container im User-Modus zum Einsatz, wodurch die Tragweite der Angriffe deutlich reduziert wird.
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35839
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Microsoft: Offene 0-Day-Lücken für Windows 10 nicht mehr kritisch

Beitrag von doelf »

Am 23. März 2020 hatte Microsoft erstmals vor zwei kritischen 0-Day-Lücken in der Bibliothek atmfd.dll gewarnt und diese als kritisch eingestuft. Nach ein Neubewertung bleiben die Schwachstellen für Windows 7, 8.1, RT 8.1 sowie Windows Server 2008 bis 2012 kritisch, doch ab Windows 10 und Server 2016 sinkt das Risikopotential auf "hoch".

Was über die Sicherheitslücken bekannt ist
Wie Microsoft erklärt, patzt atmfd.dll (Adobe Type Manager) bei der Verarbeitung von Schriftarten im PostScript-Format "Adobe Type 1". Wird eine solcher Font entsprechend manipuliert, führt der Parser den enthaltenen Schadcode schlimmstenfalls im Rechtekontext des Kernels aus. Damit atmfd.dll aktiv wird, muss nicht einmal ein präpariertes Dokument geöffnet werden, denn die Speicherfehler lassen sich bereits über die Vorschaufunktion des Explorers (Windows Explorer, NICHT Internet Explorer) ansprechen.

Alle Windows-Versionen betroffen, aktuelle sind aber besser geschützt
Was die akute Gefährdung betrifft, gibt es hinsichtlich der unterschiedlichen Windows-Versionen deutliche Unterschiede: Vor Windows 10 werden das Programm fontdrvhost.exe und die installierten Fonts im Kernel-Modus ausgeführt, was das größte Risiko darstellt. Ab Windows 10 wandert fontdrvhost.exe in einen App-Container im User-Modus, die Schriften selber werden aber weiter im privilegierten Kernel-Modus verarbeitet. Erst ab Windows 10 Version 1703 landen auch die Fonts in den User-Modus, wodurch die Tragweite der Angriffe deutlich reduziert wird. Seit Windows 10 Version 1709 gehört die Bibliothek atmfd.dll nicht mehr zum standardmäßigen Lieferumfang von Windows 10, so dass der Angriff scheitert. Allerdings kann atmfd.dll von Drittanbieterprogrammen installiert werden, so dass auch Windows 10 Version 1909 angreifbar bleibt.

Die vorgeschlagenen Gegenmaßnahmen
Eine von Microsoft vorgeschlagene Gegenmaßnahme zielt darauf ab, die Vorschau zu deaktivieren. Sollte ein Benutzer eine manipulierte Datei öffnen, bleibt diese Vorkehrung allerdings wirkungslos. Weiterhin schlagen die Redmonder vor, den WebClient-Dienst zu stoppen, um WebDAV (Web Distributed Authoring and Versioning) als wahrscheinlichsten Einfallsvektor zu versperren. Den auf diese Weise geschützten PCs bleibt dann allerdings der Zugriff auf WebDAV-Freigaben verwehrt. Wir erachten den dritten Vorschlag als den sinnvollsten: Die Umbenennung der verwundbaren Bibliothek atmfd.dll, welche man im Windows-Verzeichnis in den Unterordnern "system32" (32- und 64-Bit Varianten von Windows) und "syswow64" (nur 64-Bit Varianten von Windows) findet.

Flicken in Arbeit
Laut Microsoft arbeitet man bereits an einer dauerhaften Lösung, deren Freigabe allerdings erst für den April-Patch-Day geplant ist. Dummerweise ist der 31. März 2020 ein Dienstag, so dass der April-Patch-Day erst am 14. April 2020 abgehalten wird. Mit der nun vollzogenen Herabstufung der beiden 0-Day-Lücken ist eine vorgezogene Veröffentlichung sehr unwahrscheinlich geworden.

Aktualisierte Sicherheitswarnung inklusive der Gegenmaßnahmen: ADV200006 - Type 1 Font Parsing Remote Code Execution Vulnerability
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten