Warnung: Zwei kritische Sicherheitslücken in allen Windowsversionen
Empfehlung

Autor :  
2 kritische Sicherheitslücken in Windows

So manche Corona-Langeweile ist vorbei: Microsoft meldet 2 große Sicherheitsprobleme bei Windows.

Microsoft sind begrenzte, gezielte Angriffe bekannt, die Sicherheitsanfälligkeiten (für die es "keinen" Patch gibt) in der Adobe Type Manager-Bibliothek ausnutzen, und empfiehlt Folgendes, um das Risiko für die Kunden bis zur Veröffentlichung des Sicherheitsupdates zu reduzieren. In Microsoft Windows liegen zwei Sicherheitsanfälligkeiten bezüglich Remotecodeausführung vor, wenn die Windows Adobe Type Manager-Bibliothek eine speziell gestaltete Multimaster-Schriftart – Adobe Type 1 PostScript-Format nicht ordnungsgemäß verarbeitet.

Es gibt mehrere Möglichkeiten, wie ein Angreifer diese Sicherheitsanfälligkeit ausnutzen kann, z. B. indem er einen Benutzer dazu verleitet, ein speziell gestaltetes Dokument zu öffnen oder es im Windows-Vorschaufenster anzuzeigen.

Microsoft ist diese Sicherheitsanfälligkeit bekannt und arbeitet an einem Fix. Updates, mit denen Sicherheitsanfälligkeiten in Microsoft-Software behoben werden, werden in der Regel am zweiten Dienstag jedes Monats (Patchday) veröffentlicht. Betroffen sind Winows 10, 8.1, 8, 7, Windows-Server 2008, 2012, 2016, 2019)  Anweisungen, wie Sie das Sicherheitsrisiko reduzieren, entnehmen Sie der Risikominderung und den Problemumgehungen.

Problemumgehungen

  • Deaktivieren des Vorschaufensters und des Detailbereichs in Windows-Explorer

Durch Deaktivieren des Vorschaufensters und des Detailbereichs in Windows-Explorer wird die automatische Anzeige von OTF-Schriftarten in Windows-Explorer verhindert. Dadurch wird zwar verhindert, dass Schaddateien in Windows-Explorer angezeigt werden, aber es verhindert nicht, dass ein lokaler, authentifizierter Benutzer ein speziell gestaltetes Programm ausführt, um diese Sicherheitsanfälligkeit auszunutzen. Gehen Sie wie folgt vor, um das Vorschaufenster und den Detailbereich in Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 und Windows 8.1 zu deaktivieren:

  1. Öffnen Sie Windows-Explorer, klicken Sie auf Organisieren und anschließend auf Layout.
  2. Deaktivieren Sie die beiden Menüoptionen Detailbereich und Vorschaufenster.
  3. Klicken Sie auf Organisieren und dann auf Ordner- und Suchoptionen.
  4. Klicken Sie auf die Registerkarte Ansicht.
  5. Aktivieren Sie unter Erweiterte Einstellungen das Kontrollkästchen Immer Symbole statt Miniaturansichten anzeigen.
  6. Schließen Sie alle geöffneten Instanzen von Windows-Explorer, damit die Änderung wirksam wird.

Führen Sie für Windows Server 2016, Windows 10 und Windows Server 2019 die folgenden Schritte aus:

  1. Öffnen Sie Windows-Explorer, und klicken Sie auf die Registerkarte Ansicht.
  2. Deaktivieren Sie die beiden Menüoptionen Detailbereich und Vorschaufenster.
  3. Klicken Sie auf Optionen und dann auf Ordner- und Suchoptionen ändern.
  4. Klicken Sie auf die Registerkarte Ansicht.
  5. Aktivieren Sie unter Erweiterte Einstellungen das Kontrollkästchen Immer Symbole statt Miniaturansichten anzeigen.
  6. Schließen Sie alle geöffneten Instanzen von Windows-Explorer, damit die Änderung wirksam wird.

Auswirkung der Problemumgehung.

Windows-Explorer zeigt OTF-Schriftarten nicht automatisch an.

Rückgängigmachen der Problemumgehung.

Gehen Sie wie folgt vor, um das Vorschaufenster und den Detailbereich in Windows-Explorer für Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 und Windows 8.1 erneut zu aktivieren:

  1. Öffnen Sie Windows-Explorer, klicken Sie auf Organisieren und anschließend auf Layout.
  2. Aktivieren Sie die beiden Menüoptionen Detailbereich und Vorschaufenster.
  3. Klicken Sie auf Organisieren und dann auf Ordner- und Suchoptionen.
  4. Klicken Sie auf die Registerkarte Ansicht.
  5. Deaktivieren Sie unter Erweiterte Einstellungen das Kontrollkästchen Immer Symbole statt Miniaturansichten anzeigen.
  6. Schließen Sie alle geöffneten Instanzen von Windows-Explorer, damit die Änderung wirksam wird.

Für Windows Server 2016, Windows 10 und Windows Server 2019:

  1. Öffnen Sie Windows-Explorer, und klicken Sie auf die Registerkarte Ansicht.
  2. Aktivieren Sie die beiden Menüoptionen Detailbereich und Vorschaufenster.
  3. Klicken Sie auf Optionen und dann auf Ordner- und Suchoptionen ändern.
  4. Klicken Sie auf die Registerkarte Ansicht.
  5. Deaktivieren Sie unter Erweiterte Einstellungen das Kontrollkästchen Immer Symbole statt Miniaturansichten anzeigen.
  6. Schließen Sie alle geöffneten Instanzen von Windows-Explorer, damit die Änderung wirksam wird.

Deaktivieren des WebClient-Diensts

Durch das Deaktivieren des WebClient-Dienstes werden betroffene Systeme vor Versuchen geschützt, diese Sicherheitsanfälligkeit auszunutzen, indem die wahrscheinlichste Remoteangriffsmethode durch den Client-Dienst Web Distributed Authoring and Versioning (WebDAV) blockiert wird. Nachdem diese Problemumgehung angewendet wurde, können Remoteangreifer diese Sicherheitsanfälligkeit immer noch erfolgreich ausnutzen und bewirken, dass das System Programme ausführt, die sich auf dem Computer des Benutzers oder dem lokalen Netzwerk (LAN) befinden. Benutzer werden aber dazu aufgefordert, das willkürliche Öffnen von Programmen im Internet zu bestätigen.

Gehen Sie wie folgt vor, um den WebClient-Dienst zu deaktivieren:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen (oder drücken Sie die Tastenkombination Windows-Taste und R), geben Sie Services.msc ein, und klicken Sie dann auf OK.
  2. Klicken Sie mit der rechten Maustaste auf den WebClient-Dienst, und wählen Sie Eigenschaften aus.
  3. Ändern Sie den Starttyp in Deaktiviert. Wenn der Dienst ausgeführt wird, klicken Sie auf Beenden.
  4. Klicken Sie auf OK, und beenden Sie die Verwaltungsanwendung.

Auswirkung der Problemumgehung:

Wenn der WebClient-Dienst deaktiviert ist, werden Web Distributed Authoring and Versioning-Anforderungen (WebDAV) nicht übertragen. Darüber hinaus werden keine Dienste gestartet, die explizit vom WebClient-Dienst abhängen, und im Systemprotokoll wird eine Fehlermeldung verzeichnet. Zum Beispiel kann vom Clientcomputer nicht auf WebDAV-Freigaben zugegriffen werden.

Rückgängigmachen der Problemumgehung.

Gehen Sie wie folgt vor, um den WebClient-Dienst erneut zu aktivieren:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen (oder drücken Sie die Tastenkombination Windows-Taste und R), geben Sie Services.msc ein, und klicken Sie dann auf OK.
  2. Klicken Sie mit der rechten Maustaste auf den WebClient-Dienst, und wählen Sie Eigenschaften aus.
  3. Ändern Sie den Starttyp in Automatisch. Wenn der Dienst nicht ausgeführt wird, klicken Sie auf Starten.
  4. Klicken Sie auf OK, und beenden Sie die Verwaltungsanwendung.

Umbenennen von ATMFD.DLL

Leider können Sie die ATMFD.DLL nicht so einfach umbenennen. Aus dieem Grund gibt es eine Anleitung bei Microsoft unter https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV200006 Die Sicherheitsanfälligkeit bezüglich Remotecodeausführung bei Analyse von Type 1-Schriftarten wurde am 23.3.20 mit letzter Aktualisierung am 24.3. veröffentlicht.
 
Quellen: The Hacker News, Microsoft


Redaktion

Allgemeine Redaktion

Top
Wir verwenden Cookies (Textdateien), um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Sie geben ihre Einwilligung mit Einverstanden oder können ablehnen. Weitere Infos finden Sie in unserer Datenschutzerklärung.