[English]Die Leute von ACROS Security haben für die in allen Windows-Versionen enthaltene 0-day-Schwachstelle in der Adobe Type 1 Library einen Micropatch für Windows 7 SP1 (ohne ESU) freigegeben.
Die 0-day-Schwachstelle in der Adobe Type Library
Am 23. März 2020 machte Microsoft eine 0-day-Schwachstelle in der Adobe Type Library aller noch unterstützten Windows-Versionen öffentlich. Gemäß ADV200006 schreibt Microsoft, dass es in Microsoft Windows zwei Sicherheitslücken gibt, die eine Remote-Codeausführung ermöglichen, weil die Windows Adobe Type Manager Library eine speziell entwickelte Multi-Master-Schriftart – das Adobe Type 1 PostScript-Format – nicht korrekt verarbeitet.
Ein Angreifer kann die Sicherheitslücke ausnutzen, wenn er z. B. einen Benutzer dazu bringt, ein speziell gestaltetes Dokument zu öffnen oder es im Windows-Vorschaufenster anzuzeigen. Microsoft arbeitet an einer Lösung zur Beseitigung dieser Schwachstelle und hat in ADV200006 einige Maßnahmen zur Milderung des Problems gepostet. Ich hatte im Blog-Beitrag 0-Day-Schwachstelle in Windows Adobe Type Library ausführlich berichtet.
0patch bringt einen Fix für Windows 7 SP1
Mit dem Sicherheitshinweise in ADV200006 sind gleich zwei Probleme verbunden: Es gibt aktuell keinen Patch von Microsoft, und Benutzer von Windows 7 SP1 und Windows Server 2008 R2, die keine ESU-Lizenz besitzen, bekommen die von Microsoft freigegebenen Sicherheitsupdates aber nicht mehr.
Gestern hatte ich schon mitbekommen, dass ACROS Security einen Micropatch für die 0-day-Schwachstelle entwickelt hat und am Testen ist. Ich hatte Mitja Kolsek von ACROS Security gebeten, mich über diesen Vorgang auf dem Laufenden zu halten. Gerade bin ich über eine private Information darüber informiert worden, dass der Micropatch für Windows 7 SP1 und Windows Server 2008 R2 freigegeben wurde. Es gibt inzwischen auch eine Meldung auf Twitter.
We have just issued our first micropatch for the yet-unpatched Type 1 Font Parsing Remote Code Execution Vulnerability that was found exploited in limited targeted attacks. https://t.co/T8xK8bTIvr pic.twitter.com/lTi7uXu5Ri
— 0patch (@0patch) March 26, 2020
Wegen der Bedeutung für Windows 7-Nutzer hat ACROS Security beschlossen, den Micropatch nicht nur für deren kostenpflichtigen PRO-Plan, sondern auch für alle Nutzer, also auch für alle Nutzer von 0patch Free, freizugeben. Wer also den 0patch-Agenten unter Windows 7 SP1 installiert hat, wird durch den Micropatch vor der 0-day-Schwachstelle geschützt. Der Micropatch steht für alle 0patch-Nutzer für Windows 7 64-Bit sowie für Windows Server 2008 R2 über die 0patch PRO-Lösung zur Verfügung.
Our next step will be to port the micropatch to other affected Windows versions including Windows 7 and Windows Server 2008 R2 with ESU, Windows 8.1 and Windows Server 2012, both 32-bit and 64-bit.
— 0patch (@0patch) March 26, 2020
Eine Portierung für weitere Windows-Versionen ist gemäß obigem Tweet angedacht. ACROS Security hat diesen Blog-Beitrag mit weiteren Informationen zum Thema veröffentlicht. Es gibt zudem eine Serie an Tweets mit weiteren Details. Hinweise zur Arbeitsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Arbeitsspeicher lädt, finden sich in den Blog-Beiträgen (z.B. hier und hier), die ich nachfolgend verlinkt habe.
Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
Danke für die Info.
0Patch kann parallel zu Windows 7 mit ESU verwendet werden[*]. Grundsätzlich ist der Micropatch damit für alle Win 7-Nutzer interessant, da Microsoft wohl erst zum Patchday ein Update vorlegen wird … Witzig: Damit ist Windows 7 in einer besseren Situation als Win 8 / Win 10, die „nur“ Support von Microsoft bekommen …
___________
[*] https://0patch.zendesk.com/hc/en-us/articles/360011192299-Can-I-use-0patch-in-parallel-to-Windows-Extended-Security-Updates-
Kann mir jemand bitte dazu was sagen?
Warum kann ich die Datei atmfd.dll nicht einfach löschen?
Weil Du die ggf. später wieder brauchst.
Ja, OK! Aber warum gibt’s nicht einfach eine neue DLL zum Download, die installiere ich drüber und fertig?
Hat jemand den Update denn schon draufgespielt?
Welche Datei-Version ist diese dann aktuell (32/64bit)?
Danke.
Du hast dir aber mal meine Erläuterungen zum 0patch-Dienst in diesem Beitrag (war oben verlinkt) durchgelesen? Dann sollte sich deine Frage erübrigen. Und oben im Text steht, dass die Lösung aktuell für 64 Bit verfügbar ist.
HTH
Verständnisfrage: MS hat es noch immer nicht geschafft, eine abgesicherte dll zu stricken. Wie kommt dann opatch zu einem Fix?
Und irre ich mich, oder ist die dll für alle Windows-Versionen (mit gleicher Bittiefe) verwendbar? Das heißt, sobald MS endlich für Windows 8 was rausbringt, wird man das auch in Windows 7 reinschrauben können – oder?
Meines Wissens gibt’s keine Unterscheidung zwischen Win7 und Win8. Es wird nur zwischen 32 und 64bit unterschieden.
0patch bekommt von diversen Leuten ggf. PoCs und schaut sich diese an. Anschließend entwickelt man einen Micropatch, der dann die Schwachstelle ausputzt. Im aktuellen Fall hat man sich angeschaut, wie sich die Schwachstelle auf die Explorer-Anzeige etc. auswirkt und dort gepatcht. Lässt sich aber in dem verlinkten 0patch-Beitrag nachlesen.
@Günter: opatch ist für mich nicht die Lösung. Warum sei mal dahingestellt.
Dass es momentan nur 64 bit gibt habe ich gelesen, aber es steht ja auch drinne, dass sie an den anderen arbeiten. Und vielleicht kann jemand in ein paar Tagen was dazu sagen.
Danke
Die Frage macht aber nur dann Sinn, wenn Microsoft ein offizielles Update freigibt. Sofern dieses zum April 2020-Patchday herauskommt, ist noch viel Zeit …
bis dahin ist eine diesbezügliche Frage im Haufen der Kommentare unendlich weit nach unten gerutscht. Eine Beantwortung ist also unwahrscheinlich, auch wenn jemand den Patch hätte. Sobald dieser von MS draußen ist, kann man sich die Dateidaten aus den KB-Artikeln rausziehen (meist verlinkt MS ja eine Excel-Datei mit den Details der Dateien).
Im verlinkten Sicherheitshinweis ADV200006 schreibt Microsoft: „Microsoft is not aware of any attacks against the Windows 10 platform. The possibility of remote code execution is negligible and elevation of privilege is not possible. We do not recommend that IT administrators running Windows 10 implement the workarounds described below.“
Gibt es dazu irgendwelche Neuigkeiten? Ist Win 10 doch gar nicht betroffen?
Windows 10 ist betroffen – durch das Sandboxing sind die Auswirkungen aber begrenzt. Daher empfiehlt Microsoft auf die Abwehrmaßnahmen, die für Win 7/8.1 beschrieben werden, zu verzichten und auf den Patch zu warten.
Ah, verstehe, jetzt leuchtet mir das ein. Danke!
@Günter:
Sorry inzwischen ist es mir auch gekommen, bin auf der Leitung gestanden!
0patch tauscht ja nicht die Datei aus.
Schönes Wochenende.
Ist ja kein Problem, nur versuche ich hier meinen Input in Sachen Antworten auf Anfragen zu minimieren, um ggf. mehr Blog-Posts aufbereiten zu können (neben meinen vier Blogs, die täglich befüttert werden greift heise aktuell auch einiges für seinen Newsticker ab).