2020-1768: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. die Übernahme des Systems

Historie:

Version 1 (2020-08-12 18:36)

Neues Advisory

Version 2 (2020-08-20 13:17)

Microsoft informiert über die Verfügbarkeit von Sicherheitsupdate 4578013 für alle unterstützten Versionen von Microsoft 8.1 und Windows Server 2012 R2, um die Schwachstellen CVE-2020-1530 und CVE-2020-1537 in Windows Remote Access zu beheben.

Version 3 (2020-09-23 12:46)

Microsoft hat bestätigt, dass CVE-2020-1472 aus der Ferne ausgenutzt werden und weitere Komponenten verwundbarer Systeme betreffen kann. Da mittlerweile verschiedene Möglichkeiten bekannt sind, wie die Schwachstelle ausgenutzt werden kann, sollte das Sicherheitsupdate, sofern nicht bereits geschehen, umgehend eingespielt werden. Die baldige automatisierte Ausnutzung der Schwachstelle ist zu erwarten. Microsoft weist darauf hin, dass auch Domain Controller ohne Schreibzugriff aktualisiert werden müssen, um den Schutz für die Gesamtstruktur des Active Directory zu gewährleisten. Systeme, die von außerhalb des eigenen Netzes zu erreichen sind, sind besonders gefährdet.

Version 4 (2020-09-30 10:49)

Microsoft hat die FAQ-Sektion in dem Artikel 'How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 (https://support.microsoft.com/kb/4557222)' aktualisiert, um damit neue Fragen zu beantworten und Kunden verstärkt auf ggf. notwendige Maßnahmen zum Schutz vor der Schwachstelle hinzuweisen.

Version 5 (2020-10-30 14:01)

In einer weiteren Aktualisierung der FAQ-Sektion zu CVE-2020-1472 weist Microsoft darauf hin, dass neben dem Sicherheitsupdate zusätzliche Aktionen notwendig sind, um betroffene Systeme vollständig abzusichern. Der Domänencontroller (DC)-Erzwingungsmodus (Enforcement Mode) muss aktiviert werden. Ein Update zur vollständigen Absicherung wird für das erste Quartal 2021 angekündigt. Zum Zeitpunkt der Veröffentlichung dieses Updates werden Domänencontroller automatisch in den neuen Modus versetzt.

Version 6 (2021-02-10 09:49)

Microsoft informiert über die Veröffentlichung der zweiten Phase von Sicherheitsupdates zur Behebung der Schwachstelle CVE-2020-1472. Dadurch ist es nun möglich, auf allen Windows Domain Controllern verwundbare Verbindungen von nicht konformen Geräten zu blockieren, falls nicht eine explizite Ausnahme auf diesen aktiviert ist. Dieser 'Enforcement Mode' kann nicht von Kunden deaktiviert werden. Weitere Informationen hierzu finden sich unter 'Step 3b: Enforcement Phase' in 'How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472' (https://support.microsoft.com/kb/4557222). Microsoft verweist zudem auf die FAQ-Sektion für diese Schwachstelle.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Eine Vielzahl von Schwachstellen in den Windows-Komponenten Media Foundation, NetLogon, Jet Database Engine, DirectX, Graphics Device Interface (GDI), Local Security Authority Subsystem Service, Kernelmodustreiber (Win32k), Connected User Experiences and Telemetry Service, Windows State Repository Service, DirectWrite, Windows Print Spooler, Windows Media, Windows Registry, Windows RRAS Service, Windows Kernel, Windows ARM, Windows Remote Desktop Gateway, Windows Work Folders Service, Windows Image Acquisition Service, Windows Server Resource Management Service, Windows AppX Deployment Extensions, Windows CSC Service, Windows Storage Service, Windows Telephony Server, Windows File Server Resource Management, Windows UPnP Device Host, Windows Font Driver Host, Windows Speech Runtime, Windows Speech Shell, Windows Network Connection Broker, Windows Custom Protocol Engine, Windows Radio Manager API, Windows Remote Access, Windows Accounts Control, Windows WalletService, Windows Backup Service, Windows Backup Engine, Windows WaasMedic Service, Windows CDP User Components, Windows Work Folder Service, Windows Runtime, Windows Codecs Library, Microsoft Graphics Components, Windows Setup, Windows Function Discovery SSDP Provider, Windows dnsrslvr.dll, Windows Ancillary Function Driver for WinSock und in Windows selbst ermöglichen einem zumeist lokalen, teilweise aber auch entfernten Angreifer mit oder ohne üblichen Benutzerrechten über speziell präparierte Anwendungen, welche lokal ausgeführt werden müssen, und über Webseiten oder Dateien die Eskalation von Privilegien und darüber die vollständige Kompromittierung betroffener Systeme, die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, die Durchführung eines Denial-of-Service (DoS)-Angriffs und das Darstellen falscher Informationen. Einige Angriffe erfordern die Interaktion eines Benutzers. In einem Fall kann ein erfolgreicher Angriff Einfluss auf andere Komponenten betroffener Systeme haben.

Die Schwachstelle CVE-2020-1464, welche sich in Windows selbst befindet, ermöglicht einem lokalen Angreifer das Vortäuschen (Spoofing) von Dateisignaturen. Die Schwachstelle ist öffentlich bekannt und wird aktiv ausgenutzt, da ein Exploit zur Verfügung steht. Microsoft stuft diese Schwachstelle als wichtig ('important') ein.

Darüber hinaus informiert Microsoft, dass mehrere Schwachstellen in Windows Ancillary Function Driver for WinSock (CVE-2020-1587), Graphics Device Interface (GDI) (CVE-2020-1529, CVE-2020-1480), Windows Kernel (CVE-2020-1566, CVE-2020-1578) und Windows dnsrslvr.dll (CVE-2020-1584) zwar weder öffentlich bekannt sind noch aktiv ausgenutzt werden, deren baldige aktive Ausnutzung aber als wahrscheinlich gilt.

Mehrere weitere Schwachstellen in Windows Media (CVE-2020-1339), Windows Codecs Library (CVE-2020-1560, CVE-2020-1574, CVE-2020-1585), Media Foundation (CVE-2020-1379, CVE-2020-1477, CVE-2020-1492, CVE-2020-1525, CVE-2020-1554) und Netlogon (CVE-2020-1472) werden von Microsoft als kritisch eingestuft, da sie zur Ausführung beliebigen Programmcodes und zur vollständigen Kompromittierung der Systeme führen können. Die Schwachstelle in Netlogon (CVE-2020-1472) behebt Microsoft in einer zweiteiligen Rollout-Phase und dies erfordert zusätzlich zur Installation der Updates weitere Schritte. Die zweite Phase des Updates wird im Februar 2021 verfügbar sein (siehe Referenz).

Im Rahmen des Patchtages im August 2020 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden.

Microsoft informiert mit einer Aktualisierung des Security Advisory ADV990001 über die neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass diese unbedingt installiert werden müssen.

Schwachstellen:

CVE-2020-1337

Schwachstelle in Windows Print Spooler ermöglicht Eskalation von Privilegien

CVE-2020-1339

Schwachstelle in Windows Media ermöglicht komplette Systemübernahme

CVE-2020-1377 CVE-2020-1378

Schwachstellen in Windows Registry ermöglichen Eskalation von Privilegien

CVE-2020-1379

Schwachstelle in Media Foundation ermöglicht komplette Systemübernahme

CVE-2020-1383

Schwachstelle in Windows RRAS Service ermöglicht Ausspähen von Informationen

CVE-2020-1417 CVE-2020-1486 CVE-2020-1566

Schwachstellen in Windows Kernel ermöglichen Eskalation von Privilegien

CVE-2020-1459

Schwachstelle in Windows ARM ermöglicht Ausspähen von Informationen

CVE-2020-1464

Schwachstelle in Windows ermöglicht Darstellen falscher Informationen

CVE-2020-1466

Schwachstelle in Windows Remote Desktop Gateway ermöglicht Denial-of-Service-Angriff

CVE-2020-1467

Schwachstelle in Windows ermöglicht Eskalation von Privilegien

CVE-2020-1470 CVE-2020-1484 CVE-2020-1516

Schwachstellen in Windows Work Folders Service ermöglichen Eskalation von Privilegien

CVE-2020-1472

Schwachstelle in NetLogon ermöglicht Erlangen von Administratorrechten

CVE-2020-1473 CVE-2020-1557 CVE-2020-1558 CVE-2020-1564

Schwachstellen in Jet Database Engine ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-1474

Schwachstelle in Windows Image Acquisition Service ermöglicht Ausspähen von Informationen

CVE-2020-1475

Schwachstelle in Windows Server Resource Management Service ermöglicht Eskalation von Privilegien

CVE-2020-1477

Schwachstelle in Media Foundation ermöglicht komplette Systemübernahme

CVE-2020-1478

Schwachstelle in Media Foundation ermöglicht komplette Systemübernahme

CVE-2020-1479

Schwachstelle in DirectX ermöglicht Eskalation von Privilegien

CVE-2020-1480

Schwachstelle in Graphics Device Interface ermöglicht Eskalation von Privilegien

CVE-2020-1485

Schwachstelle in Windows Image Acquisition Service ermöglicht Ausspähen von Informationen

CVE-2020-1487

Schwachstelle in Media Foundation ermöglicht Ausspähen von Informationen

CVE-2020-1488

Schwachstelle in Windows AppX Deployment Extensions ermöglicht Eskalation von Privilegien

CVE-2020-1489 CVE-2020-1513

Schwachstellen in Windows CSC Service ermöglichen Eskalation von Privilegien

CVE-2020-1490

Schwachstelle in Windows Storage Service ermöglicht Eskalation von Privilegien

CVE-2020-1492 CVE-2020-1525

Schwachstellen in Media Foundation ermöglichen komplette Systemübernahme

CVE-2020-1509

Schwachstelle in Local Security Authority Subsystem Service ermöglicht Eskalation von Privilegien

CVE-2020-1510

Schwachstelle in Kernelmodustreiber ermöglicht Ausspähen von Informationen

CVE-2020-1511

Schwachstelle in Connected User Experiences and Telemetry Service ermöglicht Eskalation von Privilegien

CVE-2020-1512

Schwachstelle in Windows State Repository Service ermöglicht Ausspähen von Informationen

CVE-2020-1515

Schwachstelle in Windows Telephony Server ermöglicht Eskalation von Privilegien

CVE-2020-1517 CVE-2020-1518

Schwachstellen in Windows File Server Resource Management Service ermöglichen Eskalation von Privilegien

CVE-2020-1519 CVE-2020-1538

Schwachstellen in Windows UPnP Device Host ermöglichen Eskalation von Privilegien

CVE-2020-1520

Schwachstelle in Windows Font Driver Host ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1521 CVE-2020-1522

Schwachstellen in Windows Speech Runtime ermöglichen Eskalation von Privilegien

CVE-2020-1524

Schwachstelle in Windows Speech Shell ermöglicht Eskalation von Privilegien

CVE-2020-1526

Schwachstelle in Windows Network Connection Broker ermöglicht Eskalation von Privilegien

CVE-2020-1527

Schwachstelle in Windows Custom Protocol Engine ermöglicht Eskalation von Privilegien

CVE-2020-1528

Schwachstelle in Windows Radio Manager API ermöglicht Eskalation von Privilegien

CVE-2020-1529

Schwachstelle in Graphics Device Interface ermöglicht Eskalation von Privilegien

CVE-2020-1530 CVE-2020-1537

Schwachstellen in Windows Remote Access ermöglichen Eskalation von Privilegien

CVE-2020-1531

Schwachstelle in Windows Accounts Control ermöglicht Eskalation von Privilegien

CVE-2020-1533 CVE-2020-1556

Schwachstellen in Windows WalletService ermöglichen Eskalation von Privilegien

CVE-2020-1534

Schwachstelle in Windows Backup Service ermöglicht Eskalation von Privilegien

CVE-2020-1535 CVE-2020-1536 CVE-2020-1539 CVE-2020-1540 CVE-2020-1541 CVE-2020-1542

Schwachstellen in Windows Backup Engine ermöglichen Eskalation von Privilegien

CVE-2020-1543 CVE-2020-1544 CVE-2020-1545 CVE-2020-1546 CVE-2020-1547 CVE-2020-1551

Schwachstellen in Windows Backup Engine ermöglichen Eskalation von Privilegien

CVE-2020-1548

Schwachstelle in Windows WaasMedic Service ermöglicht Ausspähen von Informationen

CVE-2020-1549 CVE-2020-1550

Schwachstellen in Windows CDP User Components ermöglichen Eskalation von Privilegien

CVE-2020-1552

Schwachstelle in Windows Work Folder Service ermöglicht Eskalation von Privilegien

CVE-2020-1553

Schwachstelle in Windows Runtime ermöglicht Eskalation von Privilegien

CVE-2020-1554

Schwachstelle in Media Foundation ermöglicht komplette Systemübernahme

CVE-2020-1560

Schwachstelle in Windows Codecs Library ermöglicht komplette Systemübernahme

CVE-2020-1561 CVE-2020-1562

Schwachstellen in Microsoft Graphics Components ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-1565

Schwachstelle in Windows ermöglicht Eskalation von Privilegien

CVE-2020-1571

Schwachstelle in Windows Setup ermöglicht Eskalation von Privilegien

CVE-2020-1574

Schwachstelle in Windows Codecs Library ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-1577

Schwachstelle in DirectWrite ermöglicht Ausspähen von Informationen

CVE-2020-1578

Schwachstelle in Windows Kernel ermöglicht Ausspähen von Informationen

CVE-2020-1579

Schwachstelle in Windows Function Discovery SSDP Provider ermöglicht Eskalation von Privilegien

CVE-2020-1584

Schwachstelle in Windows dnsrslvr.dll ermöglicht Eskalation von Privilegien

CVE-2020-1585

Schwachstelle in Windows Codecs Library ermöglicht komplette Systemübernahme

CVE-2020-1587

Schwachstelle in Windows Ancillary Function Driver for WinSock ermöglicht Eskalation von Privilegien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.