Per Remote können Windows-PCs angegriffen werden - Workaround bis zum Patch [Update]
Jetzt aktualisiert: Microsoft warnt aktuell vor einer Sicherheitslücke in Windows 7, 8.1 und Windows 10 sowie bei Windows-Server-Versionen. Diese ermöglicht es Angreifern, aus der Ferne Code auszuführen. Noch gibt es keinen Patch, aber einen offiziellen Workaround.
Aktualisierung vom 25.03.2020
Nach weiteren Nachforschungen und neuen Meldungen von Microsoft betrifft diese Sicherheitslücke vor allem PCs mit Windows 8.1 und 7 sowie die Server-Versionen 2016 und 2012. Hintergrund ist, dass alle Fonts im Adobe Type Manager ab Windows 10 Version 1709 in einem eigenen Container im Prozess fontdrvhost.exe laufen und so weniger Zugriff auf das Betriebssystem erhalten. Bei den früheren Windows-Versionen ist dies jedoch nicht der Fall. Hier ist zudem die anfällige Datei ATMFD.DLL enthalten, die es bei Windows 10 nicht mehr gibt. Wer eine Version von Windows 10 vor Version 1709 betreibt, bei dem werden alle bisherigen Fonts aus einer früheren Windows-Version nicht in einem Container ausgeführt. Man sollte daher auf eine aktuellere Version von Windows 10 updaten. Prinzipiell gilt allerdings, dass man als User - unabhängig vom installierten OS - Vorsicht walten lassen sollte beim Öffnen von unbekannten Dateien. Microsoft will spätestens zum monatlichen Patchday am 14. April einen entsprechenden Sicherheitspatch veröffentlichen, um diese Sicherheitslücke zu schließen.
"Microsoft hat Kenntnis von begrenzten gezielten Angriffen auf Windows 7, die nicht gepatchte Sicherheitslücken in der Adobe Type Manager Library ausnutzen könnten, und stellt die folgenden Hinweise zur Verfügung, um das Kundenrisiko bis zur Veröffentlichung des Sicherheitsupdates zu verringern.
In Microsoft Windows gibt es zwei Sicherheitslücken bei der Remote-Codeausführung, wenn die Windows Adobe Type Manager Library eine speziell entwickelte Multi-Master-Schriftart - das Adobe Type 1 PostScript-Format - nicht korrekt verarbeitet.
Die Bedrohung ist für die Systeme, auf denen Windows 10 ausgeführt wird, gering, da mit der ersten Version, die 2015 veröffentlicht wurde, entsprechende Vorkehrungen (fontdrvhost.exe wird immer in einem AppContainer ausgeführt) getroffen wurden.
Bei Systemen, auf denen unterstützte Versionen von Windows 10 ausgeführt werden, könnte ein erfolgreicher Angriff nur in einem AppContainer-Sandbox-Kontext mit eingeschränkten Berechtigungen und Fähigkeiten zur Codeausführung führen."
Original-Artikel vom 24.03.2020
Auf gut einer Milliarde Geräte läuft Windows 10, wie Microsoft jüngst selbst bekanntgegeben hat. Zudem gibt es noch zahlreiche PCs mit älteren Windows-Versionen, die im Einsatz sind. Das ruft immer wieder Kriminelle auf den Plan, die versuchen, Geräte mit Schadcode zu infizieren, um dann etwa an Nutzerdaten zu kommen. Nun hat Microsoft öffentlich gemacht, dass es eine neue Sicherheitslücke gibt. Die Schriftverwaltung des Betriebssystems namens Adobe Type Manager hat eine schwerwiegende Sicherheitslücke, die es Angreifern ermöglicht, via Remote beliebigen Code auf infizierten PCs auszuführen. Aktuell arbeitet Microsoft an einem Patch, bis dieser veröffentlicht ist, sollen Nutzer einen Workaround verwenden, um ihr System zu schützen. Bei dieser Schwachstelle geht es darum, dass Nutzer die auf eine manipulierte Datei im Datei-Explorer klicken oder diese mittels Miniaturansicht als Vorschau anzeigen lassen, bereits mit dem Schadcode infiziert werden können.
Workaround zur Absicherung des Windows-Systems
Die Deaktivierung der Vorschau- und Detailansicht im Windows-Explorer verhindert die automatische Anzeige von OTF-Schriften im Windows-Explorer. Dies verhindert zwar, dass bösartige Dateien im Windows-Explorer angezeigt werden, hindert aber einen lokalen, authentifizierten Benutzer nicht daran, ein speziell entwickeltes Programm auszuführen, um diese Sicherheitslücke auszunutzen. Bis es einen Patch gibt, sollen Nutzer im Explorer nur noch Symbole anzeigen lassen und nicht mehr Miniaturansichten.
Die Deaktivierung des WebClient-Service hilft, betroffene Systeme vor Versuchen zu schützen, diese Schwachstelle auszunutzen, indem der wahrscheinlichste entfernte Angriffsvektor durch den Web Distributed Authoring and Versioning (WebDAV)-Client-Service blockiert wird. Nach der Anwendung dieser Umgehungslösung ist es für Angreifer, die diese Schwachstelle erfolgreich ausnutzen, immer noch möglich, das System dazu zu bringen, Programme auszuführen, die sich auf dem Computer des Benutzers oder im Local Area Network (LAN) befinden, aber die Benutzer werden vor dem Öffnen beliebiger Programme aus dem Internet zur Bestätigung aufgefordert. Um den WC-Service zu deaktivieren, soll man wie folgt vorgehen:
Auf das Windows-Logo mit einem Rechtsklick gehen und dann den Punkt Ausführen wählen. Ins Eingabefeld nun services.msc eingeben und bestätigen. Nun mit einem Rechtsklick auf Webclient service klicken und Eigenschaften wählen. Im geöffneten Fenster dann den Starttyp auf Deaktiviert setzen und mit OK bestätigen. Mit diesen beiden Maßnahmen soll man - laut Microsoft - einigermaßen geschützt sein, solange bis es einen offiziellen Patch gibt. Betroffen sind alle Windows-Versionen ab Version 7 sowie Windows Server 2012, 2016 und 2019. Für alle Versionen vor Windows 10 Version 1709, sollte zusätzlich auch noch die Datei ATMFD.DLL umbenannt werden, wie Microsoft schreibt. Ab Windows 10 Version 1709 jedoch gibt es diese DLL nicht mehr. Die Auswirkungen für Nutzer von Windows 10 seien gering, da alle Fonts im Prozess fontdrvhost.exe in einem eigenen Container ausgeführt werden.
Bildergalerie
Ebenfalls lesenswert: Microsoft verlängert Support für Windows 10 1709 wegen Coronavirus
Fakten zur Sicherheitslücke in zahlreichen Windows-Versionen:
- Die Schriftverwaltung des Betriebssystems namens Adobe Type Manager hat eine schwerwiegende Sicherheitslücke, die es Angreifern ermöglicht, via Remote beliebigen Code auf infizierten PCs auszuführen.
- Bislang gibt es keinen offiziellen Patch zur Schließung dieser Lücke.
- Allerdings gibt es Workarounds, die die Ausnutzung der Schwachstelle erschweren. Betroffen sind alle Windows-Versionen ab Windows 7.
Quelle: Microsoft
Die Windows 7 Diensteverwaltung fuer Paranoiker | 3DCenter.org
Geht das in WIN 10 nicht mehr? Ich nutze das ja noch nicht wirklich.
Eine Angriffsmöglichkeit steht im PCGH-Artikel, eine weitere im Heise Artikel. Was z.B. dein Lieblingsbrowser macht, wenn die Webseite eine solche Schrift nutzen will, oder was Dein Lieblings-PDF Viewer, weiss ich nicht.
Bing, was war das? Gerüchteweise kann mas das wohl für eine Websuche nutzen (wer es denn braucht) und Heimnetzgruppen musste man auch nie nutzen, die haben shcon immer nur Probleme bereitet. Mien privates Netzwerk hatte zuletzt bei der Interaktion zwichen Win XP auf Win 7 Probleme (oder war es zwischen Win 2000 und Win XP, ist schon zu lange her). Die Linux-PCs waren aber immer erreichbar.
Was Microsoft damit sagen will ist: Windows 7 und 8-Nutzer sollen endlich auf Windows 10 umsteigen...mit seiner mehr schlecht als recht funktionierenden Suchfunktion (Bing, YAY!) und der kaputten Privatnetzwerk-Implementierung.
Wie gefährlich ist denn diese Sicherheitslücke? Wie findet der Angriff statt? Millionenfach verbreitet durch verseuchten Code automatisch beim Websurfen? Oder muss der Angreifer schon gezielt händisch mein System als Ziel haben?
Ich lese dort eher etwas von Explorer-Vorschau und Schriften.
Demnach muss Dich nur jemand dazu bringen, eine Schriftdatei lokal zu speichern und danach den Explorer in diesem Verzeichnis zu öffnen. Genauso kann es genügen, wenn Dir jemand ein Dokument mit eingebettetem Zeichnsatz sendet, welches Du mit deaktierten Makros ausrufst.
Siehe auch hier, wenn Dir die verlinkte Origialquelle nicht genügend darüber sagt:
Angreifer attackieren Windows ueber Zero-Day-Luecken | heise online