2020-0500: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-03-11 19:29)

Neues Advisory

Version 2 (2020-03-12 17:45)

Microsoft hat den Sicherheitshinweis ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression aktualisiert, um auf die Verfügbarkeit von Sicherheitsupdates für Windows 10 in den Versionen 1903 und 1909 sowie für Windows Server, Versionen 1903 und 1909 zur Behebung der Schwachstelle CVE-2020-0796 hinzuweisen.

Version 3 (2020-03-16 10:00)

Microsoft weist darauf hin, dass zur Behebung von CVE-2020-0796 in Windows Server 1903 und 1909 nur eine Server-Core-Installation zur Verfügung gestellt wird. Weiterhin gibt der Hersteller an, dass die verwundbare Komponente SMBv3.1.1-Kompression erst mit Windows 10 1903 eingeführt wurde.

Version 4 (2020-06-08 13:40)

Mittlerweile ist ein funktionierender Exploit für die unter dem Namen SMBGhost bekannte Schwachstelle CVE-2020-0796 öffentlich bekannt. Die verfügbaren Sicherheitsupdates sollten umgehend eingespielt werden. Als Workaround können die SMB-Dekompression deaktiviert und Port 445 von außen geblockt werden, bis das Update eingespielt werden kann.

Version 5 (2020-06-10 12:04)

Microsoft hat seinen Sicherheitshinweis zu den Schwachstellen CVE-2020-0762 und CVE-2020-0763 aktualisiert und informiert über Sicherheitsupdates für Windows Defender Security Center Engine, um diese umfassend zu adressieren. Microsoft empfiehlt allen Kunden die Updates zu installieren, um vollständig vor diesen Schwachstellen geschützt zu sein. Kunden mit Systemen, welche für automatische Updates konfiguriert sind, brauchen keine weiteren Schritte zu unternehmen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Eine Vielzahl von Schwachstellen in den Windows-Komponenten Microsoft IIS Server, Dateiverknüpfungen, DirectX, Windows Defender Security Center, Windows CSC Service, Windows ActiveX Installer Service, Windows Error Reporting, Graphics Device Interface (GDI), Graphics Device Interface Plus (GDI+), Windows Work Folder Service, Windows Network Connections Service, Windows Installer, Windows Network List Service, Windows UPnP Service, Windows User Profile Service, Kernelmodustreiber, Diagnostics Hub Standard Collector, Media Foundation, Provisioning Runtime Elevation, Windows Device Setup Manager, Windows Language Pack Installer, Advanced Local Procedure Call, Windows Imaging Component, Connected User Experiences and Telemetry Service, Windows Mobile Device Management Diagnostic, Windows Search Indexer, Windows Modules Installer Service, Windows Network Driver Interface Specification, Windows Update Orchestrator Service und in Windows selbst ermöglichen einem entfernten Angreifer mit Hilfe speziell präparierter Webseiten, Dateien oder Anfragen an betroffene Systeme und einem lokaler Angreifer mit üblichen Benutzerrechten zumeist über speziell präparierte und lokal ausgeführte Anwendungen die Eskalation von Privilegien und darüber die vollständige Kompromittierung betroffener Systeme, die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen und Denial-of-Service (DoS)-Angriffe.

Die Schwachstelle CVE-2020-0796 im SMBv3-Protokoll, welche Windows 10 und Windows Server in den Versionen 1903 und 1909 betrifft, wurde von Microsoft versehentlich veröffentlicht und ermöglicht einem entfernten Angreifer die Ausführung beliebigen Programmcodes. Darüber hinaus steht für die Schwachstelle kein Sicherheitsupdate, sondern lediglich ein Workaround und dieser auch nur für den SMBv3-Server und nicht für den Client zur Verfügung (siehe ADV200005, Workaround).

Mehrere Schwachstellen in Media Foundation (CVE-2020-0801, CVE-2020-0807, CVE-2020-0809, CVE-2020-0869) werden von Microsoft als kritisch eingestuft, da sie zur Ausführung beliebigen Programmcodes aus der Ferne ohne Authentifizierung ausgenutzt werden können. Mehrere weitere Schwachstellen in Remote Desktop Protocol Server (CVE-2019-1224, CVE-2019-1225) und Remote Desktop Services (CVE-2019-1226) wurden von Microsoft nachträglich für Windows 10 Version 1909 sowie Windows Server Version 1909 (Server Core Installation) behoben.

Um die Sicherheit bei der Kommunikation zwischen den LDAP Clients und dem Active Directory Domain Controllers zu erhöhen, stellt Microsoft per Windows Update die zwei Optionen 'LDAP Channel Binding' und 'LDAP Signing ' zur Verfügung. Diese könnten in nächster Zeit durch Microsoft standardmäßig aktiviert werden, weshalb eine testweise Aktivierung empfohlen wird (siehe ADV190023).

Im Rahmen des Patchtags im März 2020 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden.

Microsoft informiert mit einer Aktualisierung des Security Advisory ADV990001 über die neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass diese unbedingt installiert werden müssen.

Schwachstellen:

CVE-2019-1224 CVE-2019-1225

Schwachstellen in Remote Desktop Protocol Server ermöglichen Ausspähen von Informationen

CVE-2019-1226

Schwachstelle in Remote Desktop Services ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-0645

Schwachstelle in Microsoft IIS Server ermöglicht Manipulation von Daten

CVE-2020-0684

Schwachstelle in Dateiverknüpfungen ermöglicht komplette Systemübernahme

CVE-2020-0690

Schwachstelle in DirectX ermöglicht komplette Systemübernahme

CVE-2020-0762 CVE-2020-0763

Schwachstellen in Windows Defender Security Center ermöglichen Privilegieneskalation

CVE-2020-0769 CVE-2020-0771

Schwachstellen in Windows CSC Service ermöglichen Privilegieneskalation

CVE-2020-0770 CVE-2020-0773 CVE-2020-0860

Schwachstellen in Windows ActiveX Installer Service ermöglichen Privilegieneskalation

CVE-2020-0772

Schwachstelle in Windows Error Reporting ermöglicht Privilegieneskalation

CVE-2020-0774 CVE-2020-0880 CVE-2020-0882

Schwachstellen in Graphics Device Interface ermöglichen Ausspähen von Informationen

CVE-2020-0775

Schwachstelle in Windows Error Reporting ermöglicht Ausspähen von Informationen

CVE-2020-0776

Schwachstelle in Microsoft Windows ermöglicht Privilegieneskalation

CVE-2020-0777

Schwachstelle in Windows Work Folder Service ermöglicht komplette Systemübernahme

CVE-2020-0778

Schwachstelle in Windows Network Connections Service ermöglicht komplette Systemübernahme

CVE-2020-0779

Schwachstelle in Windows Installer ermöglicht Privilegieneskalation

CVE-2020-0780

Schwachstelle in Windows Network List Service ermöglicht komplette Systemübernahme

CVE-2020-0781 CVE-2020-0783

Schwachstelle in Windows UPnP Service ermöglicht komplette Systemübernahme

CVE-2020-0785

Schwachstelle in Windows User Profile Service ermöglicht Privilegieneskalation

CVE-2020-0786

Schwachstelle in Windows Tile Object Service ermöglicht Denial-of-Service-Angriff

CVE-2020-0787

Schwachstelle in Windows Background Intelligent Transfer Service ermöglicht Privilegieneskalation

CVE-2020-0788

Schwachstelle in Kernelmodustreiber ermöglicht komplette Systemübernahme

CVE-2020-0791

Schwachstelle in Windows Graphics Component ermöglicht komplette Systemübernahme

CVE-2020-0793

Schwachstelle in Diagnostics Hub Standard Collector ermöglicht Privilegieneskalation

CVE-2020-0796

Schwachstelle in SMBv3 ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-0797 CVE-2020-0800 CVE-2020-0864 CVE-2020-0865 CVE-2020-0866 CVE-2020-0897

Schwachstellen in Windows Work Folder Service ermöglichen komplette Systemübernahme

CVE-2020-0798

Schwachstelle in Windows Installer ermöglicht Privilegieneskalation

CVE-2020-0799

Schwachstelle in Windows Kernel ermöglicht Privilegieneskalation

CVE-2020-0801 CVE-2020-0807 CVE-2020-0809 CVE-2020-0869

Schwachstellen in Media Foundation ermöglichen Ausführung beliebigen Programmcodes

CVE-2020-0802 CVE-2020-0803 CVE-2020-0804 CVE-2020-0845

Schwachstellen in Windows Network Connections Service ermöglichen komplette Systemübernahme

CVE-2020-0806

Schwachstelle in Windows Error Reporting ermöglicht Privilegieneskalation

CVE-2020-0808

Schwachstelle in Provisioning Runtime Elevation ermöglicht Privilegieneskalation

CVE-2020-0810

Schwachstelle in Diagnostics Hub Standard Collector ermöglicht Privilegieneskalation

CVE-2020-0814 CVE-2020-0842 CVE-2020-0843

Schwachstellen in Windows Installer ermöglichen Privilegieneskalation

CVE-2020-0819

Schwachstelle in Windows Device Setup Manager ermöglicht komplette Systemübernahme

CVE-2020-0820

Schwachstelle in Media Foundation ermöglicht Ausspähen von Informationen

CVE-2020-0822

Schwachstelle in Windows Language Pack Installer ermöglicht komplette Systemübernahme

CVE-2020-0834

Schwachstelle in Advanced Local Procedure Call ermöglicht Privilegieneskalation

CVE-2020-0840 CVE-2020-0841 CVE-2020-0849 CVE-2020-0896

Schwachstellen in Windows ermöglichen Privilegieneskalation

CVE-2020-0844

Schwachstelle in Connected User Experiences and Telemetry Service ermöglicht komplette Systemübernahme

CVE-2020-0853

Schwachstelle in Windows Imaging Component ermöglicht Ausspähen von Informationen

CVE-2020-0854

Schwachstelle in Windows Mobile Device Management Diagnostics ermöglicht Privilegieneskalation

CVE-2020-0857

Schwachstelle in Windows Search Indexer ermöglicht komplette Systemübernahme

CVE-2020-0858

Schwachstelle in Microsoft Windows ermöglicht Privilegieneskalation

CVE-2020-0859

Schwachstelle in Windows Modules Installer Service ermöglicht Ausspähen von Informationen

CVE-2020-0861

Schwachstelle in Windows Network Driver Interface Specification ermöglicht Ausspähen von Informationen

CVE-2020-0863

Schwachstelle in Connected User Experiences and Telemetry Service ermöglicht Ausspähen von Informationen

CVE-2020-0867 CVE-2020-0868

Schwachstellen in Windows Update Orchestrator Service ermöglichen komplette Systemübernahme

CVE-2020-0871

Schwachstelle in Windows Network Connections Service ermöglicht Ausspähen von Informationen

CVE-2020-0874 CVE-2020-0879

Schwachstellen in Windows Graphics Device Interface ermöglichen Ausspähen von Informationen

CVE-2020-0876

Schwachstelle in Kernelmodustreiber ermöglicht Ausspähen von Informationen

CVE-2020-0877 CVE-2020-0887

Schwachstellen in Kernelmodustreiber ermöglichen komplette Systemübernahme

CVE-2020-0881 CVE-2020-0883

Schwachstellen in Graphics Device Interface ermöglichen komplette Systemübernahme

CVE-2020-0885

Schwachstelle in Windows Graphics Component ermöglicht Ausspähen von Informationen

CVE-2020-0898

Schwachstelle in Windows Graphics Component ermöglicht komplette Systemübernahme

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.