[English]Das Sicherheitsteam von ACROS Security rund um den Gründer Mitja Kolsek hat gerade einen Micro-Patch zum Schließen einer Remote Code Execution-Schwachstelle im ms-officecmd-Handler von Windows entwickelt und für Kunden mit einer 0patch PRO oder Enterprise-Lizenz freigegeben. Für diese Schwachstelle gibt es noch keine CVE. Hier einige Informationen dazu.
Die ms-officecmd RCE-Schwachstelle
Im Blog-Beitrag Microsoft Teams Bugs: Notrufe blockiert, Phishing-Lücke seit März 2021 hatte ich am Rande berichtet, dass die Firma Positive Security in Windows 10 über einen Code Execution-Schwachstelle in Windows 10 via IE11/Edge Legacy and MS Teams gestolpert ist. Es handelt sich um eine kritische Schwachstelle bei der Handhabung des URL-Handlers „ms-officecmd“ in Windows.
Diese Schwachstelle ermöglichte einem Remote-Angreifer, beliebigen Code auf dem Computer des Benutzers auszuführen, wenn dieser eine bösartige Webseite mit einem Browser besuchte oder einen Link öffnete. Der Link kann dem Benutzer in Dokumenten oder Messaging-Anwendungen bereitgestellt werden.
Positive Security hat diesen Fehler an Microsoft gemeldet. Redmond soll diese Schwachstelle behoben haben, ohne eine CVE-ID zu vergeben (weil „Änderungen an Webseiten, Downloads durch Defender oder durch den Store normalerweise nicht auf die gleiche Weise mit einer CVE-ID versehen werden“).
Der Fix wurde nicht über Windows Update sondern über den Microsoft Store verteilt. Voraussetzung für die Verteilung war, dass der AppX Deployment Service ausgeführt wurde. Dieser Dienst (AppXSVC) ist in Windows 10 standardmäßig aktiviert und wird bei Bedarf gestartet. Eine Suche nach „AppXSVC activate“ ergibt aber einige Treffer, so dass man davon ausgehen kann, dass der Dienst oft abgeschaltet wurde (weil er eine hohe CPU-Auslastung verursachen kann). Zudem besteht in einer typischen Unternehmensumgebung keine Notwendigkeit, den Windows Store zuzulassen, so dass dieser per Gruppenrichtlinie blockiert wird. Mitja Kolsek hat die Details in diesem Blog-Beitrag näher erläutert.
Die 0Patch-Lösung für die ms-officecmd RCE-Schwachstelle
Das Team von ACROS Security, welches seit Jahren die 0Patch-Lösung bereitstellt, hat die RPE-Schwachstelle analysiert und stellte einen Micropatch bereit, um die Schwachstelle unschädlich zu machen. Mitja Kolsek hat über Twitter auf dieseLösung aufmerksam gemacht.
Das Ganze wird in diesem Blog-Beitrag vom 23. Dezember 2021 von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen für Kunden mit einer 0patch PRO oder Enterprise-Lizenz zur Verfügung. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).
Ähnliche Artikel
Angriff über Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)
MSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt
Desaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch
Patchday-Nachlese Sept. 2021: Update zur MSHTML-Schwachstelle CVE-2021-40444
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows 10: 0patch-Fix für MSHTML-Schwachstelle (CVE-2021-40444)
0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service
0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
Hat jemand schon Infos zur Datei AppBridge.dll? Gemäß des verlinken Artikels hat diese ja nicht mal eine Versionsnummer. Gibt es einen Hash oder ein bekanntes Änderungsdatum für diese Datei mit welchem diese als gepatched angesehen werden kann? Wäre ja schon irgendwie beruhigend, wenn man prüfen kann, dass der Store das Update auch eingespielt hat.
Gruß Singlethreaded