2020-2464: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-11-11 17:35)

Neues Advisory

Version 2 (2020-12-09 09:56)

Microsoft hat im Dezember 2020 Sicherheitsupdates für alle betroffenen Versionen von Windows 10 Server, Windows Server 2012 R2 und Windows Server 2012 sowie 'Monthly Rollup updates and Security Only updates' für alle betroffenen Versionen von Windows Server 2008 R2 und Windows Server 2008 veröffentlicht, um die Schwachstelle CVE-2020-17049 umfassend zu beheben. Diese Updates enthalten Fehlerbereinigungen für alle bekannten Probleme, die mit den Sicherheitsupdates vom 10. November 2020 eingeführt wurden. Der Hersteller empfiehlt dringend die Installation der Updates und danach den unter https://support.microsoft.com/help/4598347 beschriebenen Schritten zu folgen, um vollen Schutz für Domain Controller Server umzusetzen.

Version 3 (2021-01-13 10:26)

Microsoft hat anlässlich des Microsoft Patchtages im Januar 2021 die Security Updates 4598278 (Monthly Rollup) und 4598297 (Security Only) veröffentlicht, um die Schwachstelle CVE-2020-17087 für die unterstützten Editionen von Windows Server 2012 jetzt umfassend zu adressieren.

Version 4 (2021-04-14 10:23)

Microsoft hat anlässlich des Microsoft Patchtages im April 2021 weitere Security Updates veröffentlicht, um die Schwachstelle CVE-2020-17049 in einem zweiten Schritt zu adressieren. Hiermit wird der Wert '0' für die Einstellung 'PerformTicketSignature' entfernt, d. h. dieser hat nach Installation des Updates dieselbe Wirkung wie der Wert '1'. Domain Controller (DC) befinden sich im Deployment Modus.

Version 5 (2021-07-14 09:26)

Microsoft hat anlässlich des Microsoft Patchtages im Juli 2021 weitere Sicherheitsupdates veröffentlicht, um zur Behebung der Schwachstelle CVE-2020-17049 die Erzwingungsphase (Enforcement Phase) einzuleiten. Hierfür ist es erforderlich, dass auf allen Active Directory Domain Controllern mindestens das Update vom Dezember 2020 installiert ist. Mit der Umsetzung der Erzwingungsphase wird die Einstellung des Registry Keys 'PerformTicketSignature' ignoriert und der Erzwingungsmodus (Enforcement Modus) kann nicht mehr überschrieben werden. Für weitere Informationen wird auf die FAQ zu der Schwachstelle und KB4598347 verwiesen (Referenz anbei).

Betroffene Software

Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Eine Vielzahl von Schwachstellen in den Windows-Komponenten DirectX, Kerberos, Microsoft Defender for Endpoint, Remote Desktop Protocol Client, Remote Desktop Protocol Server, Win32k, Windows Bind Filter Driver, Windows Canonical Display Driver, Windows Client Side Rendering Print Provider, Windows Common Log File System Driver, Windows Delivery Optimization, Windows Error Reporting, Windows GDI+, Windows Graphics Component, Windows Hyper-V, Windows Kernel, Windows KernelStream, Windows MSCTF Server, Windows NDIS, Windows Network File System, Windows Function Discovery SSDP Provider, Windows Port Class, Windows Print Configuration, Windows Print Spooler, Windows Remote Access, Windows Update Medic Service, Windows Update Orchestrator Service, Windows Update Stack, Windows USO Core Worker, Windows WalletService und in Windows selbst ermöglichen es einem Angreifer, aus der Ferne und lokal Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Privilegien zu eskalieren und Denial-of-Service (DoS)-Angriffe durchzuführen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer der Schwachstellen kann Einfluss auf andere Komponenten haben (CVE-2020-16997). Nur zwei der aus der Ferne ausnutzbaren Schwachstellen erfordern erweiterte (Kerberos, CVE-2020-17049) oder niedrige (Remote Desktop Protocol Server, CVE-2020-16997) Privilegien. Die Schwachstelle CVE-2020-1599 ist die einzige Schwachstelle, die lokal ohne besondere Privilegien ausgenutzt werden kann.

Insgesamt stuft Microsoft zwölf der 67 Schwachstellen als 'kritisch' ein.

Microsoft informiert über mehrere Schwachstellen in den Extensions AV1 Video Extension, HEIF Image Extensions, HEVC Video Extensions, Raw Image Extension und WebP Image Extension, die aus dem App Store geladen werden können, um die jeweiligen Medientypen zu unterstützen. In Standardinstallationen ist Microsoft Windows nicht durch die Schwachstellen verwundbar.

Besonders im Fokus steht in diesem Monat die Schwachstelle CVE-2020-17087 im Windows Kernel, die kürzlich in einem Exploit gegen den Browser Google Chrome verwendet wurde. Für die Schwachstelle CVE-2020-17088 ist ebenfalls ein Exploit verfügbar, der aber noch nicht öffentlich bekannt ist oder ausgenutzt wird. Weiterhin sind die Schwachstellen CVE-2020-17042 (Windows Print Spooler) und CVE-2020-17051 (Windows Network File System) zu beachten, die einem Angreifer die Ausführung beliebigen Programmcodes aus der Ferne ermöglichen.

Im Rahmen des Patchtages im November 2020 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden. Die (kostenpflichtigen) Updates für Windows 7 und Windows Server 2008 finden sich in der Kategorie Extended Security Updates (ESU).

Zur vollständigen Behebung der Schwachstelle CVE-2020-17049 in Kerberos sind neben dem Patch zusätzliche Schritte erforderlich.

Microsoft informiert mit einer Aktualisierung des Security Advisory ADV990001 über die neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass diese unbedingt installiert werden müssen.

Schwachstellen:

CVE-2020-1599

Schwachstelle in Windows ermöglicht Darstellung falscher Informationen

CVE-2020-16997

Schwachstelle in Remote Desktop Protocol Server ermöglicht Ausspähen von Informationen

CVE-2020-16998

Schwachstelle in DirectX ermöglicht Eskalation von Privilegien

CVE-2020-16999

Schwachstelle in Windows WalletService ermöglicht Ausspähen von Informationen

CVE-2020-17000

Schwachstelle in Remote Desktop Protocol Client ermöglicht Ausspähen von Informationen

CVE-2020-17001 CVE-2020-17014

Schwachstellen in Windows Print Spooler ermöglichen Eskalation von Privilegien

CVE-2020-17004

Schwachstelle in Windows Graphics Component ermöglicht Ausspähen von Informationen

CVE-2020-17007

Schwachstelle in Windows Error Reporting ermöglicht Eskalation von Privilegien

CVE-2020-17010 CVE-2020-17038

Schwachstellen in Win32k ermöglichen Eskalation von Privilegien

CVE-2020-17011

Schwachstelle in Windows Port Class ermöglicht Eskalation von Privilegien

CVE-2020-17012

Schwachstelle in Windows Bind Filter Driver ermöglicht Eskalation von Privilegien

CVE-2020-17013

Schwachstelle in Win32k ermöglicht Ausspähen von Informationen

CVE-2020-17024

Schwachstelle in Windows Client Side Rendering Print Provider ermöglicht Privilegieneskalation

CVE-2020-17025 CVE-2020-17027 CVE-2020-17028 CVE-2020-17031 CVE-2020-17032 CVE-2020-17033 CVE-2020-17034 CVE-2020-17043

Schwachstellen in Windows Remote Access ermöglichen Eskalation von Privilegien

CVE-2020-17026 CVE-2020-17044 CVE-2020-17055

Schwachstellen in Windows Remote Access ermöglichen Eskalation von Privilegien

CVE-2020-17029

Schwachstelle in Windows Canonical Display Driver ermöglicht Ausspähen von Informationen

CVE-2020-17030

Schwachstelle in Windows MSCTF Server ermöglicht Ausspähen von Informationen

CVE-2020-17035

Schwachstelle in Windows Kernel ermöglicht Eskalation von Privilegien

CVE-2020-17036

Schwachstelle in Windows Function Discovery SSDP Provider ermöglicht Ausspähen von Informationen

CVE-2020-17037

Schwachstelle in Windows WalletService ermöglicht Eskalation von Privilegien

CVE-2020-17040

Schwachstelle in Windows Hyper-V ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-17041

Schwachstelle in Windows Print Configuration ermöglicht Eskalation von Privilegien

CVE-2020-17042

Schwachstelle in Windows Print Spooler ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-17045

Schwachstelle in Windows KernelStream ermöglicht Ausspähen von Informationen

CVE-2020-17046

Schwachstelle in Windows Error Reporting ermöglicht Denial-of-Service-Angriff

CVE-2020-17047

Schwachstelle in Windows Network File System ermöglicht Denial-of-Service-Angriff

CVE-2020-17049

Schwachstelle in Kerberos ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-17051

Schwachstelle in Windows Network File System ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-17056

Schwachstelle in Windows Network File System ermöglicht Ausspähen von Informationen

CVE-2020-17057

Schwachstelle in Win32k ermöglicht Eskalation von Privilegien

CVE-2020-17068

Schwachstelle in Windows GDI+ ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-17069

Schwachstelle in Windows NDIS ermöglicht Ausspähen von Informationen

CVE-2020-17070

Schwachstelle in Windows Update Medic Service ermöglicht Eskalation von Privilegien

CVE-2020-17071

Schwachstelle in Windows Delivery Optimization ermöglicht Ausspähen von Informationen

CVE-2020-17073 CVE-2020-17074 CVE-2020-17076

Schwachstellen in Windows Update Orchestrator Service ermöglichen Eskalation von Privilegien

CVE-2020-17075

Schwachstelle in Windows USO Core Worker ermöglicht Eskalation von Privilegien

CVE-2020-17077

Schwachstelle in Windows Update Stack ermöglicht Eskalation von Privilegien

CVE-2020-17078 CVE-2020-17079 CVE-2020-17082 CVE-2020-17086

Schwachstellen in Raw Image Extension ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-17081

Schwachstelle in Raw Image Extension ermöglicht Ausspähen von Informationen

CVE-2020-17087

Schwachstelle in Windows Kernel ermöglicht Eskalation von Privilegien

CVE-2020-17088

Schwachstelle in Windows Common Log File System Driver ermöglicht Eskalation von Privilegien

CVE-2020-17090

Schwachstelle in Microsoft Defender for Endpoint ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-17101

Schwachstelle in HEIF Image Extensions ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-17102

Schwachstelle in WebP Image Extension ermöglicht Ausspähen von Informationen

CVE-2020-17105

Schwachstelle in AV1 Video Extension ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-17106 CVE-2020-17107 CVE-2020-17108 CVE-2020-17109 CVE-2020-17110

Schwachstellen in HEVC Video Extensions ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-17113

Schwachstelle in Windows Camera Codec ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.